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A feszültségvédelem a létfontosságú számí- 
tógépek és hálózati rendszerek biztonságos 
működésének legelső védelmi vonala. 


Úgy tartja a mondás, hogy számítógépes há- 
lózatból kétféle van: az egyik fajtában már tá- 
madt hiba és adatvesztés feszültségproblé- 
mák miatt, a másik fajtában csak ezután fog. 
Kétségtelen tény, hogy a számítógépes háló- 
zatok akaratlan leállását és adatvesztését leg- 
gyakrabban tápellátási problémák okozzák. 

A Contingency Planning Research szerint 

a tápellátási zavarokból és feszültségtüskéktől 
származik az adatvesztések 45,3 százaléka, s 
persze az adatvesztéshez hardverhiba, állási 
idő is társul, meg az óhatatlan újraprogramo- 
zás. Ma már minden felelősségteljes rend- 
szergazda készít biztonsági másolatot a fon- 
tos adatokról, azt azonban még mindig sokan 
figyelmen kívül hagyják, hogy tápellátás nél- 
kül nem működnek a számítógépek; hiába 
van mentés, az adatok mégsem érhetők el. 


Áramkiesés vagy feszültségtüskék 

Vihar okozta károsodás 

Tűzvész vagy robbanás 

Hardver- vagy szoftverhiba 

Árvíz vagy általában víz okozta károsodás 
Földrengés 
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Hűtőtechnika kiesése 


Egyéb 


Forrás: Contingency Planning 


A tápellátási zavarok okozzák az adatveszté- 
sek túlnyomó részét. 


Milyen hatással van a feszültséginga- 
dozás az érzékeny berendezésekre? 
Egy rövid ideig tartó, pillanatnyi feszültségin- 
gadozás is nagy károkat okozhat! Az IBM által 
készített egyik tanulmány szerint egy átlagos 
számítógép havonta több mint 120-szor van 
kitéve feszültségingadozásnak, s ez sokféle 
hatással járhat, a billentyűzet lefagyásától 
kezdve a gyenge hardverteljesítményen át 
egészen a berendezések súlyos károsodásáig 
és visszaállíthatatlan, sérült állományok létre- 
jöttéig. A rendszergazdák hosszú órákat tölte- 
nek a különféle problémák felkutatásával és 
elhárításával, s azok sokszor végül is nem 
észlelt tápellátási problémákra vezethetők 
vissza, Egyre több vállalkozás sikere függ 

a számítógépektől, emiatt manapság soha 
nem látott méreteket öltött a feszültségvéde- 
lem iránti igény. 
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Az elektronika korában tehát két sajátos tényt 
kell szem előtt tartaniuk a számítógépet hasz- 
náló vállalkozásoknak: egyrészt azt, hogy 

a fogyasztói energiahálózat nem ad káros in- 
gadozásoktól mentes, az érzékeny számítógé- 
pek által megkövetelt egyenletes feszültséget, 
másrészt azt, hogy végső soron a vásárló fe- 
lelős a maga eszközeinek biztonságos és hi- 
bátlan működéséért. A Gallup Intézet felmé- 
rése szerint a megkérdezett vállalatok több 
mint fele óránkénti 5000 amerikai dollárra 
vagy még többre becsüli a gépek leállásából 
eredő költségeket. A feszültségvédelem szük- 
ségességét tehát nem nehéz igazolni. 
Hálózati környezetben az eszközök sokszor 
más-más telephelyen működnek, az eddig 
csupán egyetlen elektromos hálózatot, eme- 
letet, épületet vagy telephelyet érintő áramel- 
látási zavar tehát az egész rendszert károsít- 
hatja. Ha a hálózati gerinc egyetlen kritikus 
elemében támadt feszültségesés vagy feszült- 
ségtüske észrevétlenül megrongál egy érzé- 
keny alkatrészt, akkor megszakadhat a hálóza- 
ti forgalom, és a hiba megkeresése és elhári- 
tása rengeteg időt vesz el a rendszergazdától. 
A feszültségvédelemben élen járó APC sze- 
rint: ,A gépek leállásából adódó veszteség 
legtöbbször meghaladja a feszültségvédelem 
költségeit." 

A kritikus rendszerek folyamatos és jó minő- 
ségű tápellátásának a szünetmentes tápegy- 
ségek a legmegfelelőbb eszközei. A nagygé- 
pes rendszerek üzemeltetői már régóta nélkü- 
lözhetetlennek tartják ezeket az eszközöket. 

A szünetmentes tápegység folyamatos akku- 
mulátoros háttérrel szolgál (egy belső akku- 
mulátor segítségével) és kiszűri a potenciáli- 
san ártalmas elektromos zajokat, feszültség- 
hullámokat és tüskéket. Mostanában egyre 


több 

kritikus 

adat ke- 

rül fel a 

hálóza- . 

tokra, s 

a hálózati rend- 

szergazdák felis- 

merték, hogy a szünet- 
mentes tápegységek (UPS) 
nemcsak a hagyományos nagy- 
gépes rendszerekben fontosak, ha- 
nem a nagygépes rendszerek szerepét 
sok helyütt átvevő kiszolgálók, hálózati perifé- 
riák (tárolóeszközök, szalagos egységek, kon- 
centrátorok, kapcsolók, útválasztók) és sok 

PC-s munkaállomás működtetésében is. Ma 

már könnyebben rászánhatjuk magunkat az 

UPS vásárlására, hiszen az új modellek min- 

den eddigieknél költséghatékonyabbak, és tu- 

lajdonságaik mindenféle környezetben meg- 
felelnek a követelményeknek: 

un egyszerű, automatikus (,plug-and-play") te- 
lepítés; 

un a működés közben cserélhető akkumuláto- 
rok minimalizálják a szerelési igényt és ma- 
ximalizálják a működési időt; 

u a tápellátás-felügyeleti szoftver figyelmezte- 
ti a felhasználókat, ha baj van, vagy auto- 
matikusan elmenti a használatban levő ada- 
tokat; 

u a moduláris kiépítés révén szükség szerint 
növelhető a tápellátó kapacitás. 


Hálózatok tápellátási problémáinak 
megoldása 

Mindig tartsuk szem előtt, hogy a tápellátási 
problémák káros hatásai minden hálózattí- 
pust sújthatnak. A feszültségvédelmi stratégia 


kialakításában azonban a hálózat mérete 
a legfontosabb szempont. 


Kis munkacsoportok 
Az ilyen, általában kisvállalkozások által hasz- 
nált és távoli telephelyeken előforduló háló- 
zatok húsznál kevesebb, egyenrangú 
(peer-to-peer) csomópontból áll- 
nak, nem tartoznak hozzájuk 
sem dedikált kiszolgálók, 
sem összetett fel- 
ügyeleti rend- 
szerek. A rend- 
szergazdák 
általában 
a különféle 


tógépeken 
tárolt adatok értéke 
és az állásidőből eredő veszteségek fel- 
használókra vetített összege alapján határoz- 
zák meg a feszültségvédelmi kívánalmakat. 

A tápellátási igények meghatározásakor figye- 
lembe kell vennünk azt, hogy mekkora vesz- 
teséget okoz a közösen használt perifériák el- 
érhetetlenségéből vagy hibájából eredő ter- 
meléskiesés. Egy alapszintű asztali UPS 
mindössze 5-10 százalékkal növeli egy új PC 
beszerzési árát, másfelől megkétszerezheti az 
üzemkész időt. A kevésbé kritikus eszközök 
érzékeny hardverelemeit egy jó minőségű, fe- 
szültségingadozás ellen védő csatlakozó 
(surge suppressor) még gazdaságosabban 
megvédheti a veszélyes feszültséghullámoktól 
és tüskéktől — az áramkimaradástól, feszült- 
ségeséstől és túlfeszültségtől azonban nem. 


Kisméretű, kiszolgálóra épülő helyi hálózatok 
A 250-nél kevesebb csomópontból álló kis- 
méretű helyi hálózatok (LAN) sokféle vállalati 
igényt kielégítenek: betölthetik egy kisvállalat 
teljes hálózatának szerepét vagy egy nagyvál- 
lalati környezet egyik távoli telephelyi hálóza- 
táét. Ezek a hálózatok nemcsak a kiszolgálótól 
valamint a fontos adatok tárolását és a fel- 
ügyeletet végző munkaállomásoktól függnek, 
hanem az információk hálózatbeli áramlásáról 
gondoskodó tárolóeszközöktől és koncentrá- 
toroktól is. Ha ezek közül bármelyik hibás lesz 
vagy leáll, akkor a felhasználók nem érhetik el 
az adatokat, s a kiszolgálóra sem menthetik ki 
őket, ez pedig végső soron adatvesztéssel jár 
- vagy ami még rosszabb: sérült állományok- 
kal és adatbbázisokkal. 

Az ilyen hálózatokhoz tervezett UPS-ek az ak- 
kumulátoros háttér és a túlfeszültség elleni 
védelem mellett további biztonsági funkciók- 
kal is szolgálnak. Ahol több száz felhasználó 
munkája hiúsulhat meg, ott a vezetőknek ha- 
tékony feszültségszabályozási megoldásról, 
többféle működés közbeni funkcióról kell 
gondoskodniuk, valamint olyan tápellátás- 
felügyeletről, amellyel a rendszer távolról is 
ellenőrizhető és irányítható. A felügyeleti 
szoftvernek személyhívón értesítenie kell a 
rendszergazdát a feszültségproblémákról, il- 
letve hosszabb áramszünet esetén automati- 
kusan és biztonságosan le kell állítania a szá- 
mítógépeket. 


Közepes méretű helyi hálózatok 

A 250-1000 csomópontból álló LAN-ok a kis- 
méretű LAN-ok bonyolultabb változatai: fel- 
ügyeleti rendszerük összetettebb, gyakran 
több, egymástól eltérő operációs rendszerű 
kiszolgálóból állnak, s bonyolult tárolórend- 
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szerek - 
például redundáns 
lemezalrendszerek (RAID) - csatlakoznak hoz- 
zájuk. A különböző hálózati zónák közötti kom- 
munikációról a kokoncentrátorok és kapcsolók 
mellett útválasztók és hidak gondoskodnak. 

A felhasználók munkája ezekben a hálózatokban 
is attól függ, hogy a kiszolgálók (a felhasználók 
több kiszolgálóra is bejelentkezhetnek), azután 

a kiszolgálókhoz csatlakoztatott tárolóeszközök 
és a munkaállomást a kiszolgálóval összekötő 
hálózati eszközök hibátlanul működnek-e. 

Az ekkora hálózatok védelméről gondoskodó 
UPS-ektől a rendszergazdák sokszor azt várják, 
hogy a könnyebb telepítés kedvéért keretbe le- 
hessen szerelni őket. S a rendszergazdának biz- 
tosnak kell lennie afelől, hogy a tápellátás-fel- 
ügyeleti szoftver több kiszolgálóval és a kiszol- 
gálón futtatott többféle operációs rendszerrel is 
kommunikál. A webes felügyeleti eszközök is 
egyre hasznosabbnak bizonyulnak a platform- 
független ellenőrzésben és jelentéskészítésben. 


Vállalati hálózatok 


A vállalati hálózatok feszültségvédelme bizo- 
nyos tekintetben egyszerűbb feladat, hiszen 


APC 
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ezek- 
ben a há- 
lózatokban a kritikus 
adatok legnagyobb részét egyetlen helyen, 
például egy adatközpontban tárolják. 
Ma már nemcsak a nagyvállalatok működtet- 
nek - az ISP- és ASP-központokban - adatköz- 
pontokat (data center), hanem a korszerű in- 
formatikai környezetet kiépítő kis- és 
középvállalkozásokok is. 
S így van ez akkor is, ha az adatközpontot 
,Szerverszobának", router-teremnek nevezik. 
(Az ,adatközpont" annak a helyiségnek a ne- 
ve, amelyben a vállalakozás informatikai esz- 
köztárát üzemeltetik; itt van a kiszolgálópark, 
s itt vannak a hálózati eszközök, a távközlési 
berendezések, a szünetmentes áramforrások, 
az egy- vagy háromfázisú villamosenergia- 
ellátás, a légkondicionálás stb.) 
Az adatközpont kiépítésében kulcskérdés, 
hogy a beruházó mennyire átgondoltan indít- 


ja el a tervezést, majd a létesítmény felépíté- másfelől meg bővíthető legyen; bármikor 


sét. A gyakorlat szerint az üzemeltetésben jó lehessen növelni a külső energiaellátás és 
néhány olyan szempont is lényegessé válik, szünetmentes áramforrások teljesítményét; 
amelyre a tervezéskor még nem kellett — gyorsan ki lehessen alakítani a helyiségben 
vagy éppen nem lehetett - jobban figyelni.i. az infrastruktúrát, és persze könnyű legyen 
Már a helyiség kiválasztása is sok mindent ebből a helyiségből egy másikba átköltözni. 
eldönthet: ne legyen nagyobb területű az Ezek a követelmények persze ellentmonda- 
éppen szükségesnél, nak egymásnak, hiszen nincs gumiból sem 


J íj B a helyiség, sem az adatköz- 
Bee KS ze pont eszközei. 

k A gyors felépíthetőség, az op- 
timális helykihasználás, az 
igény szerinti bővíthetőség, az 
egyszerű költöztethetőség, a 
felügyelhetőség, a csekély be- 
ruházási és üzemeltetési költ- 
ségek együttes követelménye 
erősen próbára teszi az infor- 
matikai szakembereket és az 
adatközpontok tervezőit — hi- 
szen a szünetmentes áramfor- 
rásnak, a klímaberendezésnek 
akkor is működnie kell, ha az 
adatközpontnak csak tízszáza- 
lékos a kiépítettsége és a ter- 
helése. 


A minden kívánalomnak eleget 
tevő megoldást az APC 
InfraStruXure (ISX) rendszere 
kínálja. 

Az APC tervezőmérnökei azzal 
előzték meg a mai gyakorlat- 
ban használatos megoldáso- 
kat, hogy az ISX architektúrá- 
val méretezhetővé tették a szü- 
netmentes feszültségellátást, és 

a speciális keretekkel gyorsan beépít- 
hetővé tették a szabványos (19 hüvelykes) 


IT-eszközöket. Ezzel a megoldással az adat- 
központok úgy bővíthetők, mintha valóban 
valamiféle IT-Legóval dolgoznánk; az ISX- 
rendszerek legfontosabb jellemzője a rugal- 
masság, a méretezhetőség, a költséghaté- 
konyság, a testre szabhatóság, a könnyű 
felügyelet, az egyszerű és gyors szervizlehe- 
tőség. 

Az InfraStruXure tulajdonképpen a logika dia- 
dala. Nem technológiai csoda, inkább logiku- 
san felépített, optimálisan szervezett mód az ÍT- 
erőforrások elhelyezésére és szerelhetőségére. 


Mielőtt UPS-t választanánk 

Az alábbiakban összefoglaljuk, milyen szem- 

pontokat kell figyelembe venni az UPS kivá- 

lasztásakor. 

u Milyen hosszú legyen az áthidalási idő? 

Az áramkimaradások általában nem tarta- 
nak tovább néhány percnél, mégis minden 
helyzetet egyedileg kell értékelni. A hálózati 
rendszergazdának általában legalább 5-10 
perc akkumulátoros áthidalásra van szüksé- 
ge ahhoz, hogy kézzel vagy automatikusan 
— egy tápellátás-felügyeleti szoftverrel — le- 
állíthassa a rendszert. Más elektronikus be- 
rendezésekkel másképpen kell eljárni 
aszerint, hogy a felhasználók szempontjából 
mennyire fontos a folyamatos működésük. 

m Kell-e távolról ellenőrizni és irányítani 
a rendszer tápellátását? A tápellátás- 
felügyeleti szoftver különböző beépített biz- 
tonsági funkcióival ugyanis távolról is elvé- 
gezhetjük ezt a feladatot, egy kiszolgálón, 
egy PC-n vagy a weben át. 

u Soroljuk fel az UPS-re kapcsolandó vala- 
mennyi eszközt! Mint már említettük, 
számbe kell vennünk minden olyan eszközt, 
amely létfontosságú adatokat tárol vagy kri- 


tikus műveleteket végez — az összes biz- 
tonsági berendezést, a megjelenítőket és az 
alapinformációt hordozó telekommunikációs 
távközlési hálózati hardvert. 

u Hogyan válasszuk ki az eszközeinknek meg- 
felelő UPS-t? A nagyobb UPS-gyártók asze- 
rint kategorizálják készülékeiket, hogy azok 
milyen számítógépes eszköz - asztali, háló- 
zati, vállalati stb. - védelmére vannak ter- 
vezve. Néhány asztali rendszernek már 
a dobozáról is leolvasható, hogy milyen PC- 
konfigurációval működik együtt. Nagyobb 
hálózatok vagy összetettebb konfigurációk 
használatakor meg kell határoznunk a rend- 
szer teljes tápellátás-igényét. 

un Minden elektronikus eszköznek van egy 
virtuális címkéje, s azon rajta van a beme- 
neti feszültség- és tápigény voltamperben 
(VA), amperben (A) vagy wattban (W). Mi- 
vel az UPS-eket általában voltamperben 
rangsoroljuk, szorozzuk össze a feszült- 
ségértéket az amperekkel, s ezzel megkap- 
juk a voltamperértéket. Ha csak a watt- 
érték van megadva, akkor azt szorozzuk 
meg 1,4-del. 

n Adjuk össze az eszközeink VA igényét. 

n Válasszunk olyan UPS-t, amelynek volt- 
amper-kapacitása legalább akkora, mint a 
teljes rendszer igénye. Ha már tudjuk, hogy 
később majd bővíteni fogjuk a rendszert, 
akkor érdemes eleve nagyobb kapacitású 
UPS-t beszerezni. 

un Hol működnek a táplálandó eszközök? Ha 
az összes kritikus eszköz egy helyre került, 
akkor érdemes őket egyetlen nagyobb 
UPS-hez csatlakoztatni. Ha az eszközök 
különböző helyeken vannak, akkor rendsze- 
rint gazdaságosabb több kisebb UPS-t be- 
szerezni. 


, On-demand scalable, manageable, 
j pre-engineered solutions 


APC InfraStruXure" a standard elemekből 
felépülő, igény szerint méretezhető, fel- 
ügyelhető megoldás, avagy a Lego-elv sza- 
badsága az adatközpontok kiépítésében. 


Az adatközpontok vadonatúj struktúrájának 
kidolgozása előtt az APC szakemberei alapos 
kutatást végeztek. Több mint 500 gyakorlott 
szakembert kérdeztek meg arról, hogy az 
adatközpontok tulajdonosai, üzemeltetői va- 
jon milyen gondokkal küzdenek. A válaszok 
kiértékelésében az alábbi 5 problémakört tar- 
tották a legfontosabbnak: 

1. élettartam-költségek 

2. adaptálhatóság/skálázhatóság 

3. rendelkezésre állás 

4. felügyelhetőség 

5. üzemeltetés/szervizlehetőségek 


A túlméretezés költsége 


Kihasználtsági arány 96-ban 
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Beüzemelés után eltelt évek száma 
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" A telepített szünetmentes tápellátás rendszer gyártócímkén megadott névleges teljesítménye. Ez nagyobb lehet, mint 
a tervezett teljesítménykapacítás, mivel a tervben gondolnak a teljesítmény-csökkenésre és a berendezések redundanciájára is. 


Az 1980-as években a számítástechnikai ipar 
temékei nem voltak sem szabványosak, sem 
integráltak. Sokkal összetettebbek voltak, mint 
manapság, nagy volt az erőforrásigényük és 
nehezen lehetett őket kezelni. 

Amíg az információtechnológia akadálytalanul 
fejlődött a korszerű, könnyen felügyelhető, 
méretezhető eszközök irányá- 
ban, addig az őket támogató 
áram- és hűtőrendszerek nem 
követték ezt a fejlődési irányt és 
ütemet. Az összetett villamos és 
mechanikai infrastruktúrák vol- 
taképpen még mindig a hagyo- 
mányos, gyakran 20-30 éves 
technológiájú áram- és hűtő- 
rendszerekkel működnek. 

Az információtechnológia 
középpontjába a keretszekrény 
került, s azt mind sűrűbben tele- 
pítik be vékonyabb és egyre 
nagyobb teljesítményű eszkö- 
zökkel. A keretszekrényeknek 
ugyanilyen fontos szerepet kell 
kapniuk az áram- és hűtési inf- 
rastruktúra megoldásokban is. 
Az APC tervezőmérnökei arra 

a következtetésre jutottak, hogy 
lejárt a hagyományos módon ki- 
alakított adatközpontok ideje, s 
új struktúrára van szükség. Lét- 
rehoztak egy olyan megoldást, 
amely megszünteti a különbsé- 
get a fejlett IT-technológia és 

az azt ellátó áram- és hűtési 
rendszerek iránti várakozások 
között. Az APC úgy tartja, hogy 
nem a felhasznált alkotóelemek- 
től lesz valóban jó egy megol- 


ArC 


Legendary Reliabilitye 


s 


dás, hanem az integráció művészetétől és tu- 

dományától, mert az teszi hatékonnyá 

az együttműködést a különféle részek között. 

Az APC által kifejlesztett InfraStruXure" igény 

szerint méretezhető, könnyen felügyelhető, 

standard elemekből felépülő áram- és hűtési 

architektúra. Az Áram, Keret és Levegő hár- , 


Ilyen volt 


mas egységéből felépülő keretoptimalizált 
InfraStruXure" tökéletes, biztos alapul szol- 
gál a teljes IT-rendszer felépítéséhez. 


A régi rendszerek problémái 
u Az IT-környezet , melegfoltjai" váratlan leál- 
lásokat okoznak. 


Ilyen lel E 


u A túlméretezett áram- és hűtési megoldá- 
sok fölösleges beruházási és működési költ- 
ségeket követelnek meg. 

u A nem pontosan beállított rendelkezésre állás 
a kritikus alkalmazások leállását okozhatja. 

u A keretes IT-eszközök számának és mélysé- 
gének növekedésétől a kábelek ellepik 

a keretszekrényt. 

,! un Integrált megoldások híján 
ű a rendszer a külső erőforrás- 
: A ok függvényévé válhat. 

un A nem megfelelő felépítés ér- 

f tékes területek kihasználatlan- 
ságához vezet. 

1] u Az összetett rendszerekben 
gyakoribb az emberi hiba és 
hosszabb a javítási idő. 

m Az áramkörök túlterhelése vá- 
ratlan leállásokkal járhat. 

A ,fizess, ahogyan növekszel" 

modell már régóta jelen van 

az üzleti világban, technológiai 
megoldást azonban eddig nem 
kínált a piac. Az ISX gondos- 
kodik arról, hogy a beruházás 

a lehető legjobban megtérül- 

jön (ROI — Return On 

Investment), s a lehető legki- 

sebbre szorítja le az üzemelte- 

tési költségeket. 

Az InfraStruXure" megoldás 

legfontosabb erényei: 

u optimalizálja a keretes kör- 
nyezet hútési elosztását és el- 
távolítja a meleg levegőt. 

u a ,fizess, ahogyan növekszel" 
méretezhetőség optimalizálja 
a beruházási és működési 
költségeket. 

Legendary Reliability 


InfraStruXure" A típus B típus C típus 
típusok kis adatözpont közepes adatközp., nagyadatközpont 
szerverszoba 
Áram 3 kilowatt 10 kilowatt 50 kilowatt 
Levegő 3,5 kilowatt 16 kilowatt 65 kilowatt 
Keretszekrény 4 8 28 


u a keretes 

felépítés lehetővé te- 

szi a rendelkezésre állás szint- 

jének pontos meghatározását; a helyi- 

ség alapú felépítés erre nem ad módot. 

un a keretszekrény mélységének növelése 
jobb kábel- és áramelosztást ad. 

u a webes , Build-out-tool" tervezési eszközzel 
teljesen integrált rendszer építhető fel. 

u a keretes felépítés nagyon jól kihasználja 
a helyet. 

m a szabványosított, integrált megoldás csök- 
kenti az emberi hiba gyakoriságát és a javí- 
tási időt. 


APC 


Legendary Reliability 


u a keretszintű tápellátás- és kör- 
nyezetfigyelés révén csökkent 
a leállások száma. 


Függetlenül a vállalkozás 
méretétől 
A Lego-elv arról is kezeskedik, 
hogy a vállalkozások IT-szakem- 
berei megtalálják a nekik legjobb 
ISX-változatot. Egy olyan kisvállal- 
kozás, amelynek az induláskor egy 
kiszolgálója és néhány PC-je van, 
biztosan talál hosszú távon is opti- 
málisan működtethető ISX- 
megoldást. 
Az ISX-rendszerek legfontosabb jel- 
lemzői a rugalmasság, a méretezhetőség, 
a költséghatékonyság, a testre szabhatóság, 
a könnyű felügyelhetőség és az egyszerű, 
gyors szervizlehetőség. 
Az APC három InfraStruXure" architektúrára 
épülő megoldást dolgozott ki, s ezek mind- 
egyike nagyfokú méretezhetőséget kínál már 
alapkiépítésben is. 


Mit kínál Önnek az ISX? 
Optimalizálhatja kezdeti beruházásait a ,fi- 
zess, ahogyan növekszel" megoldással; ez 
olyan kapacitás kiépítésére ad módot, 
amelyre éppen szüksége van. 

Alapos, előrelátó, a teljes IT-infrastruktúrát 
átfogó felügyeletettel láthatja el folyamato- 


san változó igényeihez alkalmazkodó esz- 
közeit és azok környezetét. 

Pillanatnyi igényeihez alakíthatja az infrast- 
ruktúrát, s ehhez nem kell feladnia korábbi 
beruházásait. 

Az előre kialakított, moduláris alkotóele- 
mek felhasználásával javíthatja a rendelke- 
zésre állás költséghatékonyságát. 
Kihasználhatja a szekrényes, a mai infor- 
mációtechnológiai követelményeknek meg- 
felelő optimalizált áram- és hűtőarchitek- 
túrát. 

Igényeinek megfelelő, testreszabott áram- 
és hűtőarchitektúrát alakíthat ki a rendelés- 
re konfigurált, egyszerűen kezelhető online 
tervezési eszközzel (a Build-out toollal). 


POWER — RACK — AIR 


Az APC új megoldása, mint a logón is lát- 
hatják, három dolgon alapul: tápfeszültség, 
rackszekrény és levegő. Az informatikai biz- 
tonsághoz hogyan jönnek ezek a heterogén 
fogalmak? 


Noha a legtöbb felhasználóban nem tudato- 
sul, de a számítógépnek létfontosságú eleme 
a tápfeszültség: kevesebb memóriával, keve- 
sebb merevlemezzel lehet működni. Ahol re- 
dundáns tápegység van, ott abból is egy 
meghibásodhat, az üzem attól még megy to- 
vább. De ha nincs tápfeszültség, akkor a leg- 
drágább számítógép sem több egy halom kö- 
zönséges veszélyesnek is tekinthető hulladék- 
nál. Ez fokozottan igaz a kiszolgálókra: ezek 
tevékenysége különösen értékes, kiesésük 
pedig általában a kényelmetlenségnél jelentő- 
sebb kárt okoz. Hiszen szerverek nemcsak 
weboldalak mögött állnak: erőművek, közle- 
kedési vállalatok, telekommunikációs szolgál- 
tatók, kis- és nagykereskedők és még sok 
ezer cég tevékenysége alapul kisebb-na- 
gyobb kiszolgálókon. Természetesen a több- 
ségük alkalmaz szünetmentes tápegységeket 
a szervereik, számítógépes hálózatuk infrast- 
ruktúrájának védelmére. 

Ahol több kiszolgálót használnak, ott már ér- 
demes rackszekrénybe szerelni ezeket. A 
szerverek gyártói is egyre több modellt hoz- 
nak ki, ami rackszekrénybe szerelhető. 

Noha nem kézzelfogható, de a nagy teljesít- 
ményű számítógépekhez sok levegő kell: 

az asztali számítógépekben is hatalmas ven- 
tilátorok mozgatják a levegőt, természetesen 
a sokkal nagyobb teljesítményű kiszolgálók 
sem lehetnek meg friss -— és hűvös! - levegő 
nélkül. 


Energia 

Az InfarStruXure" megoldás az energiaellá- 
tásra igen kényelmes megoldást ad. 

A rackszekrényekbe építhető tápegységekkel 
egyrészt igen nagy teljesítményt lehet elérni, 
másrészt igen rugalmas a rendszer, igen jó a 


Arc 


Legendary Reliability" 


bővíthetőség. Ha 
valaki hosszabb 
távra tervez az- 
zal, hogy időről 
időre új szol- 
gáltatásokat ál- 
lít be, újabb 
számítógépeket 
helyez üzembe, 
akkor az 
InfrStruXure" 
alkalmazásával 
újabb és újabb 
modulok hozzá- 
adásával egy- 
szerűen meg- 
oldhatja a szük- 
séges többlet- 
energia beépíté- 
sét. 


Rackszekrény 
Ráadásul nem csak arról van szó, hogy 
a rackszekrényekbe betesszük a gépeinket, szü- 
netmentes tápegységeinket: az egész olyan, 
mint egy gigantikus építőkocka készlet. A szek- 
rények és beléjük építhető szünetmentes táp- 
egységek mellett szinte minden olyan elemet 
tartalmaz, ami egy számítóközpont berendezé- 
séhez kell. Így megtaláljuk a szekrények mellett 
a tápfeszültség elosztására szolgáló kábeleket, a 
különböző egységes csatlakozókat. Azt hiszem 
sokan jártak már úgy, hogy kihúztak a kábelren- 
geteg végén egy kábelt - és akkor vették észre, 
hogy nem azt kellett volna. . . 
A rackszekrény igen jól használja ki a rendelke- 
zésre álló alapterületet. Ezért noha látszólag 
drága megoldás, hosszabb távon mindenkép- 
pen megéri: egyrészt ugyanannyi eszköz (szü- 


Arc 
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netmentes áramforrások, kiszolgálók, hálózati 
eszközök) elhelyezése akár tizedakkora helyen is 
megoldható. Márpedig egy adatközpont kiépíté- 
se elég drága, és ha egy jelentősen kisebb he- 
lyiséget kell berendezni, az komoly előny. 


Levegő 
Az InfraStruXure" komoly megoldást jelent a 
szellőzés problémájára is. Hiszen ahogy a ki- 
szolgálók egyre kisebb méretűek és nagyobb 
teljesítnényűek lesznek, egyre több hőt kell 
elvezetni a rackszekrényekből, Ezért az építő- 
készlet tartalmaz különböző, a rackszekrénybe 
építhető ventilátorokat is. Ezek 9 kW teljesít- 
mény által keltett meleg levegőt tudnak kiszel- 
lőztetni. A hűtés mind álpadlós, mind álpadló 
nélküli helyiségekben használható. 

A teljes rendszer komplex adatközpont, szá- 
mítógépterem felépítésére nyújt segítséget. 
Ha ismerjük szükségleteinket, és a rendelke- 
zésre álló helyiséget, akkor az APC 
weboldalán meg is tervezhetjük a rendszert. 
A teljes rendszernek nagy előnye, hogy egész 
üzemállapotát 
egyetlen helyről kí- 
sérhetjük figyelem- 
mel: egy monito- 
ron áttekinthető a 
teljes üzemállapot. 
Ehhez kapcsolható 
az EMU 
(Environmental 
Monitoring Unit), 
ami a szekrények- 
ben uralkodó hő- 
mérsékletről, pára- 
tartalomról ad fo- 
lyamatos tájékozta- A 
tást. m 


ziz Iriszrris 


A Symantec februárban megjelentetett egy 
tanulmányt, amely komplex képet próbál 
adni a ma élő, elsősorban az internet felől 
fenyegető veszélyekről. 


A tanulmány a 2002 második felében észlelt 
jelenségek alapján készült, és első részében 
a mai internetes, számítógépes támadások 
trendjét elemzi. Ez valós támadások, próbál- 
kozások feldolgozásán alapul, Az adatok for- 
rásául 30 országban mintegy 400 cég és 1000 
behatolásérzékelő rendszer szolgált. 

A második részben a várható fenyegetéseket 
másik oldalról elemzik, a dokumentált prog- 
ram, rendszerhibák, illetve a rosszindulatú 
kódok felől. Ezeknek az adatbázisa több mint 
6000 tételt tartalmaz. 

A tanulmány három fő részre osztja az infor- 
matikai infrastruktúrára leselkedő veszélyeket. 


Hálózati támadások 

A cyber attack néven emlegetett hálózati 
támadásokról a tanulmány megállapítja, hogy 
a számuk enyhén csökkenő tendenciát mutat 
(a férgektől és az összetett támadásoktól elte- 
kintve). Persze vannak rosszabb hetek, hóna- 
pok, de az utolsó hat hónap az előző hat hó- 
nappal összehasonlítva enyhe csökkenést mu- 
tat. A támadások túlnyomó többsége inkább 
valamiféle támadást előkészítő, felderítő eljá- 
rás volt, mindössze 15 százalék volt a valódi 
támadás. Az előkészítő, hálózati infrastruktúrát 
felderítő tevékenység többnyire nem minősül 
a biztonságot súlyosan sértő eseménynek, mi- 
vel az esetek többségében nem követi semmi 
tényleges akció. A támadási kísérletek 99 szá- 
zaléka tartozik a nem veszélyes kategóriába, 

a súlyosnak minősíthető esetek száma pedig 
enyhén csökkenő tendenciát mutat (7. ábra). 


A 


ús 
Za Ő 
— 


Eégáb 


Támadástípusok 
(2002. július 1. és 2003. december 31. között) 
Más 
2291 e 
[ 


/ 8599 
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1. ábra Bú Fórog, és összötott támac 


A támadók próbálkozásai gyakorlatilag a hét 
bármely napján, a nap bármely órájában elő- 
fordulnak. Az adatok szerint sokkal kevesebb 
a behatolási kísérlet szombat-vasárnap, mint- 
egy fele a hétköznapi kísérleteknek. A hét el- 
ső napjain hajszálnyival több kísérletet észlel- 
tek. Érdekes módon, a hétvégi behatolási kí- 
sérlet nemcsak kevesebb, hanem sokkal erőt- 
lenebb is: a komolyabb próbálkozásokból 
(súlyosnak minősített esetekből) hétvégén - 
negyedannyit észleltek. 

A támadások gyakorisága és súlyossága igen 
erősen függ az adott cég, intézmény jellegé- 
től, méretétől, ügyfélkörétől: a támadók ked- 
vencei az energiaipari cégek, ide tartoznak az 
erőművek, nagy olajipari cégek. Az utóbbi 
időben a különböző nonprofit szervezetek is 
egyre többször válnak célponttá. A célpontok 
toplistáján harmadik helyen a telekommuni- 
kációs ipar képviselői állnak. 

A támadások többsége továbbra is jellemző- 
en néhány országból indul; az első tíz ország- 
ból indítják a támadások 80 százalékát. Ebben 
az Egyesült Államoké az első hely, az utóbbi 
hónapokban Dél-Korea , megszerezte" a má- 
sodik helyet és Kína a harmadik a listán. 
Ugyanakkor a cyber terroristák listáján sze- 


replő országokból a támadások kevesebb 
mint 1 százaléka eredt. 

A 2. ábrán látható, hogy mi volt a támadók 
kedvenc célpontja az utóbbi fél évben, a tá- 
madási kísérletek ezeknek a szoftvereknek, 
rendszerelemeknek gyengeségeit puhatolták. 
Feltétlenül tudni kell, hogy a jelentett esetek 
(támadások) több mint 50 százaléka belső 
esemény (hiba, szándékos vagy véletlen té- 
ves használat...) következménye volt. 


Rendszerhibák, hibás kódok 

A rendszerhibák, sérülékenységek tekinteté- 
ben sem szívderítő a helyzet. Az elmúlt évben 
2524 új, a biztonságot sértő hibát dokumen- 
táltak, 80 százalékkal többet, mint 2001-ben. 
Nem mindegy, hogy ezek a biztonsági rések 
mekkorák: sajnos 2002-ben sokkal jobban nö- 
vekedett a komolynak minősített biztonsági 
rések száma, mint a kevésbé veszélyeseké. 

A Symantec szerint ez a trend a webes alkal- 
mazások erőltetett ütemű fejlesztéséből is 


adódik, mert ezek a távolból is kihasználható 
hibákat tartalmaznak. A biztonsági rések ki- 
használása általában egyszerű. Az utóbbi idő- 
ben feltárt biztonsági rések a jövőben komoly 
biztonsági kockázatot rejtenek. 


Rosszindulatú kódok 

A legnagyobb fenyegetést továbbra is rossz- 
indulatú kódok -— nemcsak az újak, hanem 

a régiek is - jelentik, mert ezek kihasználják az 
óvatlanul ki nem javított rendszerhibát. Az ön- 
magukat levélben továbbító rosszindulatú kó- 
dok száma mintegy nyolcszorosára nőtt 2002 
első félévéhez képest, továbbá megnőtt azok- 
nak a vírusoknak (férgeknek) a száma is, ame- 
lyek információkat, dokumentumokat lopnak 
el a megfertőzött gépről. Az új technológiák 
új lehetőségeket adnak a rosszindulatú prog- 
ramok készítőinek, emiatt a jövőben felkészül- 
hetünk arra, hogy például a mobil eszközöket, 
a speciális pont-pont kapcsolatokat új táma- 
dások fogják érni. E 


Az első 20 célpont 


Microsoft SOL Server 
HTTP 

FTP 

Netbios Name Service 
HTTPS 

SSH 

SMTP 

RPC (tcp) 

SubSeven 


NetBIOS (139/tcp) 
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Az informatikai rendszerek igen összetet- 
tek, minden egyes részük más-más módon 
támadható. Ezzel a védelemnek is lépést 
kell tartania; erre szolgál az integrált 
védelem. 


FELHASZNÁLÓK INTEGRÁLT 
VÉDELME 


A vállalatok informatikai rendszerét egyre 
összetettebb fenyegetések veszélyeztetik, 
ugyankkor egyre több dolgozó végzi munká- 
ját a munkahelyétől távol, otthon vagy útköz- 
ben. A munkavégzés ilyen módja kétségtele- 
nül hatékony, de a távolból dolgozó és az 
utazó alkalmazottak veszélynek teszik ki 

a vállalatot — akár egy védtelen, nagy sebes- 
ségű kapcsolaton (ADSL-en vagy kábelmo- 
demen) keresztül, akár egy fertőzött laptop 
munkahelyre való bevitelével — és ez a ve- 
szély nem elhanyagolható. Az alkalmazottak 
azonban a számítógépükre letöltött fertőzött 
elektronikus levéllel vagy óvatlanul megnyi- 
tott weblappal a munkahelyen belül is éppen 
ilyen könnyen megnyithatják az utat a háló- 
zaton keresztül terjedő veszély előtt. 


Egy valós esemény 

Képzeljük csak el! Egyik alkalmazottunk a tá- 
volban dolgozik a noteszgépén. Kap egy 
fertőzött mellékletet tartalmazó levelet. Nem 
kell megnyitnia a mellékletet, egyes levele- 
zőprogramokban elég csak az előnézeti ab- 
lakban megnéznie, és a Nimda máris észre- 
vétlenül a gépére kerül. Ezután az alkalma- 
zott vagy felkapcsolódik egy tökéletesen 
megalkotott VPN-en át a noteszgépéről 

a vállalati hálózatra, vagy másnap beviszi 

a gépet a munkahelyére, a tűzfallal, és más 


eszközökkel védett tartományon belülre. 

A víruselhárító szoftver el tudja ugyan fogni 
a vírust, de az összetett fenyegetés, 

a Nimda-szerű rosszindulatú program háló- 
zati fertőzőképessége ellen egyaránt szük- 
ség van a tűzfalra és a betörésérzékelőre. 
Ha a rendszer megfertőződött, márpedig 

a noteszgéppel a féreg bekerült a tűzfal mö- 
gé, a fertőzés az egész hálózaton végigter- 
jedhet, mivel a felhasználói szint már csak 
korlátozottan védett. Nem lehet minden 
egyes hálózati csomópontot, számítógépet 
külön tűzfal mögé tenni. Vagy igen? 

Ha a felhasználói szinten is valamiféle ösz- 
szetett védelem dolgozna, akkor a követke- 
ző történhetne: a felhasználóhoz érkező 
adatoknak először át kell haladniuk a fel- 
használói tűzfalon, emellett az érkező jelzés 
a hálózati támadások, az érkező adatok, ví- 
rusok szempontjából is ellenőrzésre kerül- 
nek. Ha ,megszólal" a betörésjelző, a fel- 
használói tűzfal megakadályozza az érintett 
IP-cím felőli hálózati hozzáférést. Vírus ese- 
tén pedig a rendszer kijavítja vagy elszigete- 
li a fertőzött állományt. A felismert fenyege- 
tés megmarad a felhasználói szinten, és az 
akció elhal, mielőtt átterjedhetne a vállalati 
hálózat többi részére. 


Az általános cél 

Az összetett veszélyek a vírusok, a férgek, 

a trójaiak és a rosszakaratú kódok tulajdonsá- 
gait ötvözik a szerverek és a rendszerben 
meglévő biztonsági hibák, sérülékenységek 
kihasználásával, és így indítják, viszik át és 
terjesztik támadásaikat. Az egyetlen védelem 
ellenük az integrált védelem alkalmazása va- 
lamennyi szinten - az internetátjárón, a háló- 
zati kiszolgálókon és a munkaállomásokon is. 


Az informatikai védelem és a valós 

helyzet 

Ma, amikor 

m nő az e-üzlet fontossága, 

nm eltűnőben van a hálózat határa, 

m a határok eltűnésével lényeges elem lett 
az üzlet folyamatossága, 

nm egyre gyakoribbá és összetettebbé válnak 
az információ elleni támadások és egyre na- 
gyobb veszteséget okoznak, 

a legtöbb informatikai részlegnek várhatóan 

több lesz a feladata, a pénzügyi és a személyi 

erőforrása azonban csökkenni fog. 


A mai védelmi környezet 
következményei 

A különböző szállítóktól származó, önálló ter- 
mékekből összetevődő hálózati védelemnek 
több sajátosága van. 


1. Az informatikai személyzet gazdaságtalanul 
dolgozik: az informatika területén dolgo- 
zóknak megvásárolt többféle termék azt je- 
lenti, hogy többet kell telepíteniük, több- 
ször kell kezelniük és felügyelniük a hason- 
ló adatokat. Az egyedülálló termékeknek ki- 
csi a ,rálátásuk" a védett környezet egészé- 
re. Egy járvány kitörésekor a különféle szál- 
lítók által végzett gyorsjavításokat különbö- 
ző módszerekkel kell bevizsgálni. 

2. A védelem gyengébb a vártnál: ha több 
gyártótól szerezzük be a termékeket, nem 
várhatjuk azt, hogy ezek zökkenőmentesen 
együttműködjenek vagy kommunikáljanak 
egymással. 

3. Többe kerül: az informatikai részlegeknek 
nagyobb közvetlen és közvetett költség- 
gel jár a különféle, önálló termékek had- 
rendbe állítása, kezelése és frissítése, 


mint amennyibe egy integrált megoldásé 
kerülne. 


A végeredmény az, hogy a nem integrált, önál- 
ló termékek kezelése nem hatékony, nő a rend- 
szer kezelésének és támogatásának a költsége, 
valamint a birtoklás összköltsége. Az integrált 
védelem nemcsak széles körű védelmet és rea- 
gálást kínál, hanem a kezelésre fordított erőfor- 
rások optimalizálását is, hiszen a különböző vé- 
delmi módszerek telepítése, a készülő jelenté- 
sek és a frissítések mind egyetlen felületről ke- 
zelhetők. Ez pénz- és időmegtakarítással jár, és 
csökkenti annak a lehetőségét, hogy a hálózat 
felhasználói szintje védtelen maradjon. 

A felhasználói szinten történő vírusellenes vé- 
delem már nem elegendő a felhasználói réteg 
megvédésére. Mivel a felhasználók a vállalati 
tűzfal mindkét oldalán előfordulnak, éppúgy 
sebezhetőek, mint a hálózat többi része, sót 
az összetett veszélyek szaporodásával sebez- 
hetőségük is nő. 


Három jó ok egy ügyféltűzfal 

alkalmazására 

1. A tásrmunkások számának növekedése 
VPN és más , always-on" kapcsolatok a vál- 
lalati hálózat hátsó ajtajaként is működhet- 
nek, illetéktelenek könnyen hozzáférhetnek 
egy noteszgépen keresztül a vállalat titkos 
információihoz. 

2. Összetett fenyegetések 
Azokat a fenyegetéseket, amelyeket 
az ügyfél-vírusvédelem nem állít meg, 
megállítja az ügyféltűzfal, és így nem fer- 
tőznek meg másokat sem. 

3. DDOS támadások 
PC-k és laptopok könnyen részesei lehet- 
nek egy ilyen támadásnak. 


Átfogó ügyfélvédelem 

A Symantec Client Security a maga nemében 
egyedülálló integrált védelmi megoldás a há- 
lózat és a távoli felhasználók számára. 

A Symantec Client Security egyesíti a vírus- 
ellenes, betörésjelző és tűzfalmegoldásokat 
annak érdekében, hogy a felhasználói szinten 
is érvényesíthetőek legyenek a rendszabály- 
ok, és a központosított frissítés és terjesztés 
révén gondoskodjon a jobb reagálásról. A vé- 
delem megnövelése érdekében a Symantec 
Client Security a vírusellenes védelmet ösz- 
szetett hálózati védelemmé bővíti. 


A Symantec Client Security 

további előnyei 

u A központosított kezelés gyorsabb reagálást 
tesz lehetővé a többszörös veszélyekre 

u Az egy gyártótól származó többféle védelmi 
eljárás olcsóbban, jobb védelmet ad 

u A különböző területekről érkező jelzések (ví- 
ruskereső, tűzfal, behatolásjelző...) egy 
rendszerben keletkeznek, az összefüggések 
könnyebben felismerhetők 

mu Egyszerűbb a védelem kezelése a különféle 
elosztott hálózatokon 

n A kezelés egyyszerűbb egyetlen segítség- 
nyújtó kapcsolaton át. 


A VÁLLALAT ÚJ, INTEGRÁLT 
MEGOLDÁSÚ VÉDELME 


A szervezetek munkájuk, adatmegosztásuk, 
mindennapi kommunikációjuk során egyre in- 
kább függenek a hálózatoktól. A feladat ma- 
gától értetődik: csak azok az emberek férhes- 
senek hozzá az adatokhoz, akiknek megfelelő 
jogosultságuk van, de aki jogosult, az férjen 
hozzá az adatokhoz. A mai hálózatok bonyo- 


lultsága és a biztonságot fenyegető új kocká- 
zatok megjelenése napról napra nehezebbé 
teszi ezt a feladatot. 


A változó környezet és az összetett 
fenyegetések szükségessé teszik 
azintegrált védelmet 

A vállalati hálózatok kereskedelmi és együtt- 
működési célra való felhasználásának képes- 
sége nagymértékben előmozdítja a vállalko- 
zást, és afféle ,hiperkapcsolt vállalat" széles 
körű megjelenéséhez vezet. Az ilyen vállalko- 
zások igényeinek kielégítésére a hálózat átjá- 
ró-, szerver-, valamint felhasználói szintjeinek 
szorosan össze kell kapcsolódniuk, vagyis 

a létfontosságú információk a belső hálózat 
több szintjén megtalálhatók, és ezek mind- 
egyike megköveteli a saját védelmet. Ezzel 
egyidejűleg mindennapossá válnak a hálóza- 
tot fenyegető egyre rafináltabb veszélyek, 
olyan támadási módszerekkel, amelyek több 
módon próbálják felderíteni és kihasználni 

a hálózat sebezhető pontjait. Például a víru- 
sok, a férgek, valamint a trójaiak, amelyek 
többnyire önmagukat sokszorosító és terjesz- 
tő fájlokban vagy programokban rejtőznek, és 
igen könnyen elterjedhetnek a gyanútlan szá- 
mítógép-használók révén. A védelmi eljárá- 
sok gyenge pontjainak kihasználására terve- 
zett, egymástól függetlenül dolgozó, összetett 
fenyegetések több eljárást használnak a tá- 
madásra és saját maguk elterjesztésére, ezál- 
tal igen gyorsan elterjednek és kiterjedt káro- 
kat okoznak. 


A kockázatokról 

A hálózat sebezhetőségének több szintjével 
és az egyre gyarapodó támadási eljárásokkal 
a vállalatok kockázata is egyre nő. A hálózati 


egy symantec. 


támadások több módon is befolyásolhatják 

az üzletmenetet. 

u Az üzleti műveletek leállítása. A támadások 
okozta kimaradás termelési és bevételi 
veszteségekkel járhat, a megtámadott háló- 
zat helyreállítási költségei pedig megnövelik 
a pénzügyi terheket. 

u A törvényi felelősség és az esetleges peres- 
kedés. A sikerrel megtámadott cégeket 
gyakran fogják perbe vagy idézik a bíróság 
elé tanúként. 

u Csökken a versenyképesség. Ma már több- 
nyire az információ a vállalat legértékesebb 
kincse (gondoljunk az előfizetők, beszállítók 
listájára). 

u A márkanév károsodása. Egy márkanév sé- 
rülése a vállalat piaci helyzetének romlásá- 
hoz vezethet. Ha egy cégtől például hitel- 
kártya-információkat loptak el, nehéz lesz 
visszaszereznie a márkába vetett bizalmat. 

A jelenlegi biztonsági megoldások nem alkal- 
masak az összetett fenyegetések elleni véde- 
lemre és magasabb birtoklási költséggel jár- 
nak. Ez nehezen kezelhető védelmi helyzetet 
eredményez, és hatása nem felel meg a biz- 
tonsági elvárásoknak. 


A logikus megoldás: azintegrált 
védelem 

Az integrált védelem elve az e-üzlettel kap- 
csolatos új feladatok megoldására alakult ki. 
Az integrált védelem a teljes védettség érde- 
kében a különféle biztonsági eljárásokat 
egyesíti a szabályzatnak való megfeleléssel, 
a segítségnyújtással és a fejlett kutatással. 

A költségek és az előnyök legkedvezőbb ará- 
nya mellett a leghatékonyabb biztonságot ez 
adja. Kész a legnagyobb védekezésre, az in- 
formatikai rendszer több szintjén egymást ki- 


egészítő funkciókkal működik. A hálózatot érő 
támadások hatásának minimalizálása érdeké- 
ben összetett tevékenységével valamennyi 
rétegben hatékonyabb védelemre képes a fe- 
nyegetések sokasága ellen. 

Az integrálható védelmi eljárások: 

Tűzfalak - a hálózatba belépő és az azt elha- 
gyó információ szűrésével a teljes hálózati 
forgalmat ellenőrzik a jogosulatlan hozzáférés 
megakadályozása érdekében. 
Behatolásérzékelés - felismeri a jogosulatlan 
hozzáférést, riaszt és jelentést készít a táma- 
dások mintázatának és módszerének elemez- 
hetősége céljából. 

Tartalomszúrés - felismeri és megakadályoz- 
za a nemkívánatos forgalmat. 

Virtuális magánhálózatok (VPN) - a hálózat 
határain túlnyúló kapcsolatokat védi, lehetővé 
teszi a biztonságos vállalati kommunikációt 
az interneten át. 

Sérülékenység kezelése - felderíti a védelem 
réseit és megoldást javasol rájuk. 
Víruselhárítás -— védelmet ad a vírusok, férgek 
és trójaiak ellen. 


Miért szükséges 

azintegrált védelem? 

Az egy megoldássá egyesített védelmi eljárá- 
sok a bonyolultság és a költségek csökkenté- 
se mellett átfogóbb védelmet adnak. Az in- 
tegrált megoldás szükségtelenné teszi a kü- 
lönböző szállítóktól származó termékek 
egyenkénti kezelését és a közöttük fellépő 
együttműködési problémák megoldását. Mi- 
vel az integrált védelem a hálózat valamennyi 
rétegén alkalmazható, ezért növeli a vagyon- 
védelmet és csökkenti az üzletmenet megsza- 
kadásának a kockázatát is. Az integrált megol- 
dásnak köszönhetően nő a gyakran túlterhelt 


informatikai részleg hatékonysága is, és az in- 
formatikai személyzet más stratégiai felada- 
tokra tud összpontosítani. 

A védelmi tevékenység hatékonyságának nö- 
velésére, a támadások hatásának minimalizá- 
lására és a szervezetek általános védelmi 
helyzetének javítására ma egy integrált védel- 
mi keretrendszer nyújtja a legtöbbet. Eljött az 
ilyen megoldások ideje. 


INTEGRÁLT BIZTONSÁGI 
MEGOLDÁSOK: 
SYMANTEC CLIENT SECURITY 


A Symantec Client Security az integrált biz- 
tonsági megoldások egyéni felhasználóknak 
szóló megvalósítása. 

Ez a csomag együtt tartalmazza a ügyfélgé- 

pek számára az integrált antivírus, tűzfal és 

behatolásérzékelést. 

A Symantec Client Security az első olyan 

megoldáscsomag, amely integrált biztonsági 

megoldást kínál a hálózati és távoli ügyfél- 
gépeknek is. Több biztonsági technológia 
egyidejű központosított telepítését, terjeszté- 
sét, beállítását és szabályzatkezelését teszi 
lehetővé. 

u Integrálja a Symantec antivírus, túzfal és 
behatolásérzékelő technológiáit, így bizto- 
sítja az ügyfélgépeken a biztonsági szabály- 
zat betartását. 

m A nagyvállalati hálózatban az integrált me- 
nedzsment- és válaszlépés-szolgáltatások- 
kal fejlett védelmet ad az ügyfélgépeken 
az Összetett internetes fenyegetések ellen. 

m Az adminisztrátor erőforrásait optimalizálja, 
és csökkenti az ügyfélgépek hálózati védel- 
mének adminisztrációs, rendszertámogatási 
és általános biztonsági költségeit. 


un Mindez a Symantec Security Response tá- 
mogatásával végezhető, amely a veezető 
internetes biztonsági kutató és rendszertá- 
mogató szervezet. 


A Symantec Client Security kiváló védelmet 
nyújt az ügyfélgépeken az összetett internetes 
fenyegetések ellen. Integrációja a piacvezető 
biztonsági technológiákkal az ügyfélgépek 
szintjén széles körű biztonságot ad, miközben 
csökkenti az általános biztonsági költségeket. 
A Symantec Client Security közös terítési és 
frissítési funkciót kínál a Symantec antivírus, 
tűzfal és behatolásérzékelő technológiái szá- 
mára, így csökkenti az üresjáratokat, a kocká- 
zatot és az adminisztratív terheket, melyek 
rendesen a különböző szállítóktól származó 
egyedi termékek menedzseléséhez kapcso- 
lódnak. A Symantec Client Security automa- 
tikusan megvizsgálja az állományokat az is- 
mert és ismeretlen vírusok után kutatva, 
blokkolja a gyanús kimenő és bejövő forgal- 
mat, a jogosulatlan behatolást és a port 
scant. A Symantec Client Securityt támogatja 
a Symantec Security Response, az iparágve- 
zető általános kutató és rendszertámogató 
szervezet. A frissítések a Symantec Client 
Securityhez egyetlen, integrált mechanizmu- 
son keresztül jutnak el, ez a LiveUpdate; 
amely biztosítja a gyors terítést és a bizton- 
sági szabályzatok betartását. 

A Symantec System Center központosított 
ügyfélbiztonsági menedzsmentje a biztonsági 
funkciók széles körű áttekintését teszi lehető- 
vé, valamint fejlett menedzsment- és válasz- 
lépés-lehetőségeket biztosít még az összetett 
internetes fenyegetések ellen is. A rendszer- 
gazda erőforrásait optimálisan használja ki, 
mivel a többrétű biztonsági technológiák te- 


lepítése, a jelentéskészítés és a -frissítés 
mind egyetlen konzolról történik. 

A Symantec Client Security egyedi backend 
infrastuktúra technológiákat használ 

a Symantectől, többek között NAVEX-et, 

a Digital Immune Systemet és a Blood- 
houndot. Ezek a technológiák az ismert és 
ismeretlen fenyegetésektől egyaránt védel- 
meznek. 


INTEGRÁLT BIZTONSÁGI 
MEGOLDÁSOK: 
SYMANTEC GATEWAY SECURITY 


A Symantec Gateway Security széles körű 
átjáróvédelem egy teljesen integrált bizton- 
sági berendezésben. 

Ez a könnyen kezelhető berendezés széles 

körű átjáróvédelmet ad a vállalatoknak, és ki- 

elégíti a kis- és közepes vállalkozások, vala- 
mint a nagyvállalkozások fiókirodáink egyedi 
biztonsági igényeit. 

u Az adminisztrációt könnyűvé és egyszerű- 
vé teszi egy grafikus menedzsmentfelület 
használatával, s ezzel minden biztonsági 
funkció kezelhető. 

u Rugalmas és nagy teljesítményű, miközben 
kompatibilis a piacvezető tűzfal-, magas 
rendelkezésre állási és terhelésmegosztási 
opciókkal. 

u Mögötte áll a Symantec Security 
Response, a világ vezető internetes biz- 
tonsági kutató és rendszertámogató szer- 
vezete. 

u Az internetátjárót megvédi minden típusú 
web- és e-mail fenyegetés ellen. 

A Symantec Gateway Security az első széles 

körű átjáróvédelmi megoldás egy egyszerű, 

könnyen kezelhető berendezésben, amely 


a kis- és közepes vállalkozások egyedi bizton- 
sági igényeit célozza meg az 5 elemi hálózati 
biztonsági funkció ötvözésével. A teljesen in- 
tegrált rackbe szerelhető egység a legmoder- 
nebb tűzfal, antivírus, internettartalom-szűrés, 
behatolásérzékelés és virtuális magánhálózat 
technológiák alkalmazásával véd a legújabb 
többrétű biztonsági fenyegetések ellen. 
Ahogy az egy valódi plug-and-protect megol- 
dáshoz illik, a berendezés vezérli és figyeli 

a web- és e-mail fenyegetések minden típu- 
sát, beleértve a féregvírusokat, a rosszindula- 
tú kódot, a biztonsági rések támadását, és az 
olyan összetett fenyegetéseket is, mint 

a Nimda vagy a Code Red, A közös menedzs- 
ment konzol használatával minden biztonsági 
funkció könnyen beállítható és módosítható 
akár helyben, akár távolról, és az olyan frissí- 
tések, mint az új vírusok definíciói és beha- 
tolásérzékelési , ujjlenyomatok" automatiku- 
san teríthetők a LiveUpdate segítségével. 

A Symantec Gateway Security az internet és 
a vállalati hálózat vagy a belső hálózat egyes 
szegmensei közötti átjáró biztonságossá téte- 
lének rugalmas megoldása olyan szervezetek- 
nek, amelyeknek már van tűzfala. A berende- 
zés teljesen kompatibilis a vezető gyártók ter- 
mékeivel, így egy második védelmi vonalat 
alkot, továbbá olyan védelmet ad, amelyet 
azok egymagukban nem tudnának adni, 

A Symantec Gateway Security az a megol- 
dás, amely az egyszerű, grafikus menedzs- 
mentfelület mögé a létező legjobb biztonsági 
technológiát integrálja, és gondoskodik arról, 
hogy minden komponens tökéletesen 
együttműködjön. Ez növeli a biztonságot, 
mégis könnyen kezelhető, továbbá biztosítja 
a hálózat optimális működését és a befekte- 
tés lehető legjobb megtérülését. nm 
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Az adatbiztonság területének két fontos fogal- 
ma az incidens és az esemény. A teljes rend- 
szer adatbiztonságához ezeket a tényezőket 
pontosan kell használni, és megkülönböztetni. 


A biztonság kézben tartása minden eddiginél 
nagyobb felelősség. 

Nagy összegeket költöttek a felismerést és 

a megelőzést szolgáló alkalmazásokra, mégis 
mindig küzdeni kell a környezet biztonságának 
megőrzéséért? Nos, ezzel nincs egyedül. 


Mennyi összetevő 

Az incidens és az esemény két igen eltérő foga- 
lom, és sajnos gyakran összekeverik őket. Meg 
kell találni az események szénakazlában a védel- 
mi incidenseket jelentő ,túket". 

Események. A vállalatnál működő, a rendszere- 
ket és a hálózati forgalmat vizsgáló védelmi esz- 
közök gyanúsnak tűnő tevékenység észlelésekor 
jeleznek. Az ilyen, egy-egy védelmi eseményt 
képviselő jelzésből a legtöbb vállalatnál naponta 
sokezernyi adódik. Eseménynek nevezzük 

a rendszerben vagy a hálózaton megfigyelhető 
bármely történést, 

Két példa a mindennapos eseményekre: 

u hibás vagy túl hosszú hálózati csomag 

u elrontott bejelentkezés a számítógépre 

Az eltorzult csomagok általában ártalmatlanok, 
de egyes esetekben káros hatásuk is lehet; pél- 
dául jelezhetnek egy átmenetitár-túlcsordulásos 
támadást is. Azok a cégek, amelyek az összefüg- 
gések ismerete nélkül csak az események fel- 
ügyeletére összpontosítanak, az összehangolat- 
lansággal kínlódnak, és hamis találatokra paza- 
rolják el az időt. 

Incidensek. Gyakran történnek olyan esemé- 
nyek, melyek egyenként szemlélve elszigetelt- 
nek és összefüggéstelennek tűnhetnek. Az inci- 
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densek bekövetkezése összefüggést teremt az 
események között, így a rendszer biztonsági fe- 
lelősei észlelhetik azokat. Egy incidens egy vagy 
több, az elfogadható kockázati mérték megtartá- 
sa érdekében beavatkozást és lezárást igénylő 
védelmi eseményből vagy körülményből áll. 
Incidens lehet: 
u jelentős, az üzletet veszélyeztető és beavatko- 
zást igénylő fenyegetések 
mu nap mint nap előforduló helyzetek, amelyek 
csak elhanyagolásuk esetén veszélyesek az üz- 
letmenetre. 
Néhány példa az egy vagy több eseményből ál- 
ló incidensre: 
m nagymértékű vírus- vagy féregfertőzés 
u szolgáltatás leállása 
u egy alkalmazott visszaélése a rendszeren 
u támadásérzékeny alkalmazások futtatása 
a rendszeren 


Hatékony incidenskezelés 

A sok, egymáshoz kapcsolódó eseményt (táma- 
dást, sérülékenységet, szabályzatsértést) mindig 
együtt kell szemlélni ahhoz, hogy felfedezzük az 
incidenst. 

Nem az a kérdés, hogy találkozunk-e incidens- 
sel, hanem az, hogy ez mikor következik be. 


A Symantec Incident Manager 

A nagy hálózattal rendelkező vállalatoknál na- 
ponta nagy tömegű védelmi esemény jelentke- 
zik. A teljes bejövő adatmennyiség áttekintése 
nehéz feladat; ezen a ponton tud segíteni 

a Symantec Incident Manager. A Symantec 
Incident Manager összevonja a több gyártótól 
származó különféle egyedi termékek által jelzett 
védelmi eseményeket, felismeri a fontossági 
sorrendet, és nyomon követi az incidenseket 
azok lezárásig. m 
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Napjainkban sajnos a biztonság kérdése már 
nem elvont fogalom. Elég meghallgatni a híre- 
ket, böngészni az interneten, számos riasztó 
hírt találunk nap mint nap. Sok intézmény, vál- 
lalat időben reagált a külső fenyegetettségek- 
re, fizikai biztonságát videós megfigyelőrend- 
szerrel, riasztó- és tűzvédelmi rendszerrel erő- 
sítette meg. 


Látható, hogy számos helyen az emberi erővel 
való védelemnek is jelentős teret adnak. Ezek 
azonban a lehetséges támadásoknak csak kiseb- 


bik, elsősorban a fizikai részét akadályozzák 
meg. Ezzel szemben az informatikai rendszert, 
melyet a korábbiakhoz képest sokkal több táma- 
dás érhet, ezzel a módszerrel nem sok sikerrel 
védhetjük. Ráadásul a támadások jelentős része 
a statisztikák szerint belülről, a felhasználók aka- 
ratlagos vagy véletlen tevékenységeiből indul. 
Egyes irodalmi adatok szerint az okozott károk 
több mint négyötöde ilyen, belső károkozásból 
származik. Az informatikai iparágra vetített válto- 
zások már ma szemmel láthatók. 

Az üzleti folyamatokat ma már nem lehet elvá- 
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lasztani a hozzájuk rendelt információtechnológi- 
ai struktúrától. Az informatikai eszközök, rend- 
szerek kiesése az egyes intézményi feladatok el- 
látásának megszűntét okozza. Az e-mailt már 
nemcsak emlékeztetők és feljegyzések küldésére 
használjuk, hanem szerződések, gazdasági infor- 
mációk, értékkel bíró dokumentumok továbbítá- 
sára is. Minőségi változás következett be: míg 
korábban a kereskedelemben főleg cégismerte- 
tők, prospektusok terjesztésére használták a vi- 
lághálót, ma a web egyre több helyen kínál 
elektronikus kereskedelmi (e-Commerce) funkci- 
ókat is. 

Az ICON Rt. - a KFKI Számítástechnikai csoport 
tagja — közel öt éve hozta létre önálló IT-bizton- 
sági üzletetágát, amely a piaci igényeket követ- 
ve, töretlen lendülettel növekedve mára a honi 
biztonsági piac meghatározó szereplőjévé nőtte 
ki magát. Szakemberei számos komplex projekt- 
nek köszönhetően jelentős rendszerintegrátori 
tapasztalattal, valamint referenciával bírnak mind 
a kormányzati, mind a versenyszektorban. 

Az elmúlt két évben a statisztikák szerint minden 
ötödik vállalat jelentős anyagi kárt szenvedett in- 
formatikai biztonsági problémák következtében. 
A megkérdezett nagyvállalatok döntő többsége, 
9090-a úgy vélte, hogy az elmúlt egy év során 
csorba esett informatikai rendszerének biztonsá- 
gán, 8090 pedig elismerte, hogy a rendszerében 
lezajlott hacker tevékenység anyagi kárral járt. 
2002-ben is a webkiszolgálók voltak az inter- 
netes kalózok kedvenc áldozatai: a megkérde- 
zettek 3890-a tapasztalt valamilyen, a webszol- 
gáltatást fenyegető támadást. 

A fentiek ismeretében cikkünkben megpróbá- 
lunk rávilágítani az ÍT-védelem globális egészére 
úgy, hogy különböző részeit — úgymint egy vál- 
lalat vagy intézmény biztonsági szintjének érté- 
kelése, a biztonsági rendszer tesztelése, ellenőr- 


zése, különböző eljárások és eszközök, távfel- 
ügyelet és egyéb eljárások — kiemeljük, és eze- 
ken keresztül értelmezzük a komplex feladatot. 


Hogyan értékeljük a rendszer 
biztonságát? 

Az informatikai rendszer biztonságának érté- 
kelése azért komplex feladat, mert a rend- 
szer más jellemzői érdeklik a rendszer üze- 
meltetőjét és más az ügyvezető igazgatót. 
Ahhoz, hogy megfelelő döntés születhessen 
a biztonsági fejlesztésekről, esetleg a bizton- 
sági funkció vállalaton kívülre való helyezé- 
séről, célszerű pontos képet alkotni a pilla- 
natnyi helyzetről. Ez a tevékenység a bizton- 
sági vizsgálat, átvilágítás (idegen szóval: 
audit), amit ma még szinte mindenki más- 
képpen értelmez. Az informatikai biztonsági 
vizsgálat módszeres és független ellenőrzés 
annak a meghatározására, hogy az informa- 
tikai infrastruktúra és a kapcsolódó eljárások 
milyen formában és mekkora hatékonyság- 
gal szolgálják a biztonságos üzletvitelt. A biz- 
tonsági vizsgálat elsődleges követelményeit 
a módszertani megközelítés - az ICON egyé- 
ni módszertanában felhasznált BS7799, 
Common Criteria -, a megtervezett, széles 
körű és koordinált lebonyolítás, illetve a füg- 
getlenség, azaz a semleges bizatonsági szak- 
értők és a független kritériumok jelentik. 

Ez nemcsak azt jelenti, hogy tárgyszerű ered- 
ményt kapunk, hanem az eredmény más 
eredményekkel - például egy korábbi idő- 
pontban készülttel - össze is hasonlítható. 


Mit tartalmazzon egy informatikai 
biztonsági vizsgálat? 

Ahány feladatkör, annyiféle válasz létezik 
erre a kérdésre. Az ICON létrehozta a jól 


dokumentált SAM Secure Audit Methology 
programot, amely valójában hosszú évek 
tapasztalatára épülő módszertan. A prog- 
ram a megközelítés módja és célja szerint 
több (önmagában is megálló) szolgáltatás- 
ból áll. Az első lépésben a rendszer bizton- 
ságának és kockázatainak felmérése a fel- 
adat, ennek részei a következők: 

m Szoftverrel Végzett Felülvizsgálat 

mu Műszaki Szakértői Felülvizsgálat 

m Kockázatelemzés 


A következőkben vizsgáljuk meg a három 
szolgáltatást kicsit alaposabban. 


SZOFTVERREL VÉGZETT 
FELÜLVIZSGÁLAT 


Az informatikai erőforrások sérülékenységei szé- 
les skálán mozognak, ezért a biztonsági lyukak 
felfedezésére olyan szoftvereszközök szüksége- 
sek, amelyek módszeresen és célirányosan ke- 
resnek sérülékeny pontokat, és ezekről riportok 
formájában számolnak be. Könnyen belátható, 
hogy csak az ismert hibák, sérülékenységek 
meglétének ellenőrzése manuális eljárással sok 
időbe telik. Az ICON a szolgáltatások elvégzésé- 
hez a többéves biztonsági tapasztalatok alapján 
kialakított NetSsAM nevű szoftveres felülvizsgála- 
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ti módszertant alkalmazza, így olyan képet kap 

az informatikai rendszerről, amilyennel egy jól 

felkészült támadó is találkozik. Megvalósításának 
az alábbi lépései vannak: 

m felmérik az adott informatikai hálózat erőforrá- 
sait és felépítését. 

u minden egyes előzőleg kijelölt informatikai 
erőforrást (például router, szerver, ügyfélgé- 
pek, hálózati kapcsolók stb.) szoftverrel átvizs- 
gálnak. 

u a szoftver által automatikusan készített sérülé- 
kenységi jelentést kijavítják, lefordítják magyar 
nyelvre 

u a jelentésből levonják a megfelelő következte- 
téseket 

m a Szoftverrel végzett felülvizsgálat eredményei 
angol nyelvű jelentések és azok kiértékelt, tö- 
mörített magyar nyelvű változatai. 

m a szakértők feladatai többrétűek, többek között 
kijavítják a téves észleléseket, rangsorolják 
a sérülékenységeket, az eredményt összevetik 
más hasonló tesztek eredményével, végül kö- 
vetkeztetéseket vonnak le az adott informatikai 
erőforrás sérülékenységére nézve. 


MŰSZAKI SZAKÉRTŐI 
FELÜLVIZSGÁLAT 


Az ICON szakemberi 

az informatikai rendszer- 
elemek állapotát bizton- 
sági szempontból illetve 
rendszeradminisztrátori 
nézőpontból értékelik. A. ! 
valós folyamatokat, az 
alrendszerek állapotát 

és a rendszerelemek 
tényleges beállításait 


Megnevezés 
Internetkijáratok Router, tűzfal, web, proxy, ftp, mail 
felülvizsgálata — kiszolgálók 
Egyéb hálózati eszközök  Routerek, switchek, 
vizsgálata intelligens HUB-ok 


összevetik az üzemeltetési dokumentációkban 
foglaltakkal és az általános üzemeltetési szoká- 
sokkal. A felülvizsgálat többéves szakmai tapasz- 
talatokra és az ICON ProSsAM módszertanára 
épülve, részletes ellenőrzőlisták alapján történik, 
amelynek során felhasználják a korábban eset- 
leg végrehajtott Szoftverrel Végzett Felülvizsgá- 
lat eredményeit is. A rendszer tehát használható 
a Szoftverrel Végzett Felülvizsgálat nélkül is, ter- 
mészetesen célszerűbb együtt alkalmazni. Így 
olyan képet kapnak a rendszerről, ami megmu- 
tatja az informatikai szempontból ideális állapot- 
hoz képest tapasztalt eltéréseket. 

Érdemes megvizsgálni a megvalósítás lépéseit 
is. A Múszaki Szakértői Felülvizsgálat során egy 
vagy több szenior (vezető) rendszermérnök va- 
lós működési körülményeik között (üzemelés 
közben) felülvizsgálja a rendszerelemeket infor- 
matikai biztonsági szempontból, az észlelt hiá- 
nyosságokról jelentést készít, illetve javaslatokat 
tesz a rendszerek biztonságot növelő beállításai- 
ra, és dokumentálja azokat. Szükség, illetve 
igény esetén a dokumentált javaslatok alapján 
az ICON szenior rendszermérnöke a módosítá- 
sokat végre is hajtja a rendszerelemen, majd a 
módosításról jegyzőkönyvet készít. 

A műszaki Szakértői Felülvizsgálat a követke- 
ző informatikai infrastrukturális elemekre ter- 
jedhet ki: 


Megjegyzés 


Szerverek . Windows NT 4.0, Windows 2000, 
vizsgálata — Novell, Linux, UNIX, AS/400, VMS, 


AIX 


ICON 


A Műszaki Szakértői Felülvizsgálat eredménye 
egy jegyzőkönyv, amely tartalmazza a talált 
problémák javasolt megszüntetési módjait. 


KOCKÁZATELEMZÉS 


A Kockázatelemzés a szervezet ügyvitele 
szempontjából kritikus üzleti folyamatokra és 
az azokat kiszolgáló informatikai eszközökre, 
szolgáltatásokra terjed ki. Célja, hogy pontos 
képet kapjunk az ügyfél üzletmenetének biz- 
tonságát fenyegető informatikai eredetű ve- 
szélyekről. Az ICON a szolgáltatások elvégzé- 
séhez az interjúk, konzultációk során a British 
Standard 7799, Common Criteria nemzetközi 
módszertanok, valamint a többéves biztonsá- 
gi tapasztalataink figyelembevételével kialakíi- 
tott saját módszertanát alkalmazza. Így olyan 
képet képes alkotni a vállalatról, amilyet egy 
informatikai biztonságban nem járatos mene- 
dzser fel tud használni a továbbfejlesztéssel 
kapcsolatos pénzügyi döntéseihez. 

Az Üzleti Kockázatelemzés megvalósításának 
több fontos lépése van, lássuk most ezeket. 


Helyzetfelmérés 

Az informatikai biztonsági helyzetfelmérés ki- 

terjed azokra az üzletileg kritikus rendszerele- 

mekre, amelyek biztonságát a későbbiekben 

garantálni kívánják annak érdekében, hogy 

ezek sérülése vagy hiánya az üzleti tevékeny- 

séget ne akadályozza, vagy ne veszélyeztes- 

se, illetve ezekből illetéktelen kezekbe infor- 

máció ne kerülhessen. 

A helyzetfelmérés során a következőket vizs- 

gálják: 

m vállalati eljárások, szabályok, standardok; 
rendszeradminisztrációs eljárások; 

u alkalmazások és az általuk kezelt adatok; 


u kritikus üzleti folyamatok; 

m változások kezelése; 

nu dokumentációs rendszer; 

u katasztrófatervek; 

u fizikai környezet és biztonsága; 
n oktatás, képzés 


Veszélyforrás-elemzés 

Fel kell tárni valamennyi elképzelhető ve- 
szélyforrást, fenyegető tényezőt, amelyek kárt 
okozhatnak az informatikai rendszerben, és 
ezzel az alkalmazásban vagy az adatokban. 

A kockázatelemzés ennek a tevékenységnek 
az eredményeire épül. 


A kockázatelemzés 

A feltárt fenyegető tényezőket lehetséges ki- 

hatásaik szempontjából értékelik (veszélyfor- 
rások által bekövetkező lehetséges biztonsági 
események gyakorisága és kárértéke), és eb- 
ből határozzák meg a fennálló kockázatokat. 


Cselekvési terv készítése 

A Kockázatelemzés eredménye a kockázat- 
elemzés dokumentációja és a cselekvési terv, 
amelyből kiindulva meg tudják határozni 

a biztonsági rendszer kívánt állapotát. Rend- 
szerint közös workshop keretében értékelik az 
eredményeket, és ekkor választják ki a cselek- 
vési tervből megvalósításra érdemes projek- 
teket is. 


BELSŐ SZABÁLYOZÁS 


Mit sem ér az egész elemzés, ha a védelmi 
rendszert bevezetni szándékozó intézmény 
vagy vállalat nem alakít ki saját belső előírá- 
sokat a biztonságos működésre. Az első lé- 


pés ezen a területen a belső informatikai biz- 
tonsági politika meghatározása. Ennek része, 
hogy a szervezet legfelsőbb vezetése elfo- 
gadja és betartassa az irányelveket, azaz dek- 
larálja a vezetői elkötelezettségét, tegyen 
konkrét intézkedéseket a biztonság megte- 
remtésére, fektesse le az általános irányelve- 
ket, definiálja az informatikai szereplők jogait, 
feladatait és hatásköreit, végül tegye mindezt 
mindenki számára ismertté és kötelezővé. 
Mert mit ér a legjobb, legkorszerűbb eszköz, 


ha használatát nem szabályozzák? Hiába ru- 
háznak be egy hatékony tűzfalba, ha boldog- 
boldogtalan állítgathatja a paramétereit. Mint 
tudjuk, aminek sok gazdája van, annak nincs 
gazdája. Nem lesz senki, aki tudná az összes 
paraméterről, hogy miért van éppen az, és 
éppen úgy beállítva. A jogok, hatáskörök és 
feladatok definiálására jó példa, hogy szabá- 
lyozni kell, ki és hogyan vehet fel új felhasz- 
nálót az informatikai rendszerbe. Természe- 
tesnek tűnik, hogy ez valakinek a joga és kö- 
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telessége, és hogy 

csak megfelelő írásos 

dokumentum alapján 
teheti meg; mégis 
vannak nem kis háló- 
zatok, ahova többen, 
telefonon érkező kérés 
alapján vehetnek fel 
felhasználót. 

Ugyancsak lényeges 

a belső informatikai biz- 

tonsági szabályzat ki- 

alakítása. Ebben célsze- 
rű lefektetni a rendszer 
biztonságához szüksé- 
ges kontrollokat, kijelöl- 
ni a részrendszerek fe- 
lelőseit, azok feladatát, 
speciális szabályzatokat 
tervezni a kritikus rend- 
szerekhez, végül egysé- 
ges számonkérési és 
ellenőrzési szabályokat 
bevezetni. 

Az előzőkben vázolt el- 

méleti feladatok után 

lássunk egy példát ar- 
ra, hogy miképp lehet- 
séges hatékonyan el- 
lenőrizni rendszerün- 
ket. Az ellenőrzéseket 
az ICON módszertana 
szerint négyfélekép- 
pen lehet elvégezni: 

u NetSAM (szoftverrel 
végzett felülvizsgá- 
lat, melynek során 
a sérülékenységeket 
vesszük számba) 


m ProSAM (lokális szakértői felülvizsgálat 
rendszeradminisztrátori jogosultsággal) 

u HacSAM (etikus hackelés: a hibák jóindula- 
tú feltérképezése és kihasználhatóságuk bi- 
zonyítása) 

u SocSAM (a biztonság emberi tényezőinek 
felderítése) 

Ezek a szolgáltatások egymásra épülnek, de 

önmagukban is hasznosan bevethetők. 

Cikkünkben az egyik legérdekesebb és leglát- 

ványosabb módszertani elemet mutatjuk be, 

azaz az etikus hackelésre (HacSAM) 
fókuszálunk. 


Az etikus hackelés 

Mit is nevezünk etikus hackelésnek? A kissé 
misztikus elnevezés nem más, mint az infor- 
matikai biztonsági hibák jóindulatú feltérképe- 
zése, ezek kihasználhatóságának bizonyítása. 
De milyen módszerek és eszközök alkalmaz- 
hatók erre a feladatra? Az ICON Rt.-ben léte- 
zik egy csapat, amely etikus hack (nevezhet- 
nénk etikus betörésnek is) tevékenységre 
specializálta magát. Módszereik és eszközeik 
teljesen hasonlóak azokéhoz, akik illegális 
módon próbálnak betörni egy hálózatba, gya- 
korlatilag egy (vagy több) behatolási kísérle- 
tet hajtanak végre. Amiben különbözik, hogy 
a célpont beleegyezésével teszik, és tapaszta- 
lataik alapján segítenek a rendszer biztonsá- 
gát növelni. A háttérben az ICON által kifej- 
lesztett HacSAM módszertan áll. Az alábbiak- 
ban a leggyengébb pontokat mutatjuk be, hi- 
szen a vizsgálat is elsősorban ezekre irányul. 


WEB és FTP szerverek sérülékenységei 

A legelterjedtebb támadási formák a CGI 
(Common Gateway Interface) szkriptek sérü- 
lékenységeit kihasználó támadások. Komoly 
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biztonsági rést jelentenek az alapkonfiguráci- 
óval feltelepített mintafájlok, a mintaadatbá- 
Zisok és a feleslegesen futó szolgáltatások is. 
A régebbi verziójú webkiszolgáló szoftverek 
könnyű prédának számítanak, ugyanis ezek- 
nek a hibái közismertek, az összes informati- 
kai biztonsággal foglalkozó honlap ismerteti. 
A hacker oldalakon pedig ezek kihasználására 
találunk részletes leírásokat. 

Az FTP szervereknél tipikus hiba az anony- 
mous login engedélyezettsége. A korábbi 
FTP-verziók jelentős részénél találtak olyan hi- 
bát, aminek segítségével anonymous felhasz- 
nálóként DoS támadást indíthatunk a szerver 
ellen, s ennek eredményeképpen root jogo- 
sultságokhoz jutunk a rendszeren. Nagy koc- 


A FELTÖRÉS MENETE 


Intranet 


Buffer overílow 


j WEB 
192.168.0.10 


:Nhack 


) remote 


kázatot hordoz még a könyvtárszerkezet jogo- 
sultságainak nem megfelelő beállítása. 

Trójai falovak keresése, elhelyezése, kihaszná- 
lása. A trójai falovak segítségével átvehetjük 
az irányítást a célerőforráson, bármit megte- 
hetünk, ami root/adminisztrátori jogosultsá- 
gokkal lehetséges. Ahhoz, hogy trójai szoftve- 
reket helyezzünk el egy rendszeren, elég egy 
létező buffer overflow támadást kihasználni, 
aminek következtében root/adminisztrátori jo- 
gokat kapunk az adott hoston. 
Jelszófeltörések. Különböző módszerek létez- 
nek: password file megszerzése, hallgatózás 
a hálózaton, registry megszerzése, folyama- 
tos próbálkozás szótár alapján vagy pedig 
úgynevezett brute force technika segítségé- 
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vel. Ez utóbbi azt jelenti, hogy a karakterek bi- 
zonyos kombinációit végigpróbáljuk. A jelsza- 
vak feltöréséhez többféle közkézen forgó 
szoftvert használhatunk. 

A munkaállomásokra kötött modemeken ke- 
resztüli támadások. Telefonszám-tartományok 
végighívása, ahol az adatgyűjtő szoftver fel- 
jegyzi, ha a telefonszámon modem jelentke- 
zett be. Ezek a támadások súlyos károkat 
okozhatnak, mivel a munkaállomásokon álta- 
lában nincs komoly védelmi szoftver. 

Vírusok. A régi boot, DoS, makrovírusok he- 
lyett ma már a különböző rendszerkompo- 
nensek, a levelező szerverek/kliensek, vala- 
mint a böngészők hibáit kihasználó kódok, 
trójaiak, férgek élik világukat. Sokszor szük- 
ségtelen a rendszer direkt feltörése, ha a ren- 
delkezésre álló dedikált csatornákon (pl. leve- 
lezés, web-böngészés) a szükséges adatok 
(jelszavak, rendszerinformációk, konkrét állo- 
mányok;) kijuttathatóak. Egyes vírusok kifeje- 
zetten trójai programok bejuttatására speciali- 
zálódtak. 

Látható, hogy egy informatikai hálózat veszé- 
lyeztetettségét csak folyamatos felülvizsgálat 
segítségével lehet felmérni. Ezeknek a vizsgála- 
toknak nem szabad csak az internet felőli tűzfa- 
lakra, webszerverekre korlátozódniuk, hanem 
célszerű a teljes belső informatikai infrastruktú- 
rára is kiterjeszteni őket. A felülvizsgálatoknak 
érdemes pontosan kidolgozott módszertanra 
épülniük. 

Cikkünkben természetesen nem csak a vizsgála- 
tokra és az ellenőrzésre mutatunk be módszere- 
ket, hanem kész megoldásokkal is szolgálunk. 


A PKI-rendszer 
Az ICON Rt. szállította, és integrálta az or- 
szágban az első elektronikus aláírást biztosító 


kormányzati PKI (Public Key Infrastructure) 
rendszert a Belügyminisztérium Magyar Iga- 
zolvány szolgáltatásához, ahol kollégáik spe- 
ciális rendszerintegrátori szemlélete segített 
a rendszer alkalmazás szintű integrációjában. 
Következőkben tekintsük át, a különböző al- 
kalmazások miképp működnek együtt a PKI- 
rendszerrel: 

E-mail titkosítás és digitális aláírás: a PKI- 
rendszer együttműködik az ismert és széles 
körben használt levelező szerverekkel és klien- 
sekkel (például a Microsoft Exchange-el, 

az Outlook Express-szel, a Netscape 
Messangerrel vagy a Lotus Notesszal). Ugyan- 
csak problémamentes az együttműködés a 
web hozzáférés során. Az internet-böngészők 
és a webszerverek PKI-rendszert alkalmaznak 
a hitelesség megállapításához, a bizalmasság 
megőrzéséhez és olyan alkalmazásokhoz, 
mint például az online-banking vagy az online- 
shopping. Adattitkosításra tipikusan Secure 
Sockets Layer (SSL)-t használnak. VPN (a ha- 
gyományos internetkapcsolaton is működő 
telephelyeket és felhasználókat összekötő vir- 
tuális privát hálózatok) esetében a PKI-tech- 
nológia lehetővé teszi a titkosítást és a hiteles- 
ség megállapítását a nyilvános hálózatokban 
is. A távoli hozzáférés (RAS) esetén a PKI biz- 
tosítja a felhasználók azonosítását, és lehető- 
séget nyújt a VPN alapjául szolgáló, titkosított 
adatkapcsolat kialakítására. Fájlok, levelek di- 
gitális aláírásával, illetve titkosításával a letöl- 
tött programok vagy a megkapott levelek 
megbízhatósága jelentősen növelhető, mert 
ezek a technológiák lehetővé teszik a csomag 
érintetlenségének ellenőrzését. 

Roppant fontos a védelem szempontjából a fel- 
használók azonosítása, azaz a hozzáférés-véde- 
lem: a munkaállomások, tartományok, alkalma- 


zások korábbi jelszavas védelme számos eset- 
ben nem bizonyult elegendőnek. Ez smart-kár- 
tyával kiegészítve már eleget tesz a kétfaktorú 
felhasználóazonosítás követelményeinek, mi- 
szerint a biztonságos azonosításhoz , valamit 
tudni és valamit birtokolni" kell. 

A jelenleg ajánlott, alkalmas technológiák: 


Proxy interfész Motorola, MIFARE, HID 
PKI chip. Schlumberger, Oberthur - 
ICON HYDRA, ActivCard, 
PKI RSA Security 
szerveroldal Microsoft W2K, RSA KEON, 
Baltimore UniCert 


Közös tevékenység 


Az előzőekben már tettünk említést az egyik 
legbiztosabb védelemről, az intelligens chipkár- 
tyáról, a továbbiakban ennek integrálásáról 
szólunk. 


A beléptetőrendszer integrációja 

A stabil működés olyan védett rendszert fel- 
tételez, amely képes garantálni a titkossá- 
got, a hitelességet, a szabályozott hozzáfé- 
rést, az adatok integritását és a letagadha- 
tatlanságot. A digitális tanúsítvány és a nyil- 
vános kulcsú kriptográfia alkalmazásával 
ezen elvárások mindegyikének eleget lehet 
tenni. A nyilvános kulcsú kriptográfia szer- 
vezeti szintű alkalmazásához ki kell alakítani 
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a nyilvános kulcsú infrastruktúrát (PKI), 
amely a felhasználókra, az alkalmazásokra 
és a rendszerekre vonatkozó tanúsítványok 
és titkosítási kulcsok kezelését, elosztását 
segítő alapvető szolgáltatásokat biztosítja. 
Az utóbbi néhány évben a világ számos or- 
szágában megtörtént e technológia jogi sza- 
bályozása - 2001-ben nálunk is. A törvény- 
hozás által jóváhagyott szabályozó doku- 
mentum a ,2001./XXXV. Törvény az elektro- 
nikus aláírásról" címet viseli. 

De hol kapcsolódik a fizikai biztonság az in- 
formatikai biztonsághoz? A kapcsolódás 
egyik pontja a kártya. A technológiai fejlő- 
dés lehetővé teszi, hogy a PKI-rendszerhez 
tartozó tanúsítványt és a hozzá tartozó 
kulcspárt egy rendkívül jól védett fizikai esz- 
közön, smart-kártyán tároljuk. Az új techno- 
lógia mára azt is megoldja, hogy ugyanazt 
a kártyát használjuk a fizikai beléptetőrend- 
szerhez is. A kártya az úgynevezett hibrid 
kártya, mely egyszerre tartalmazza a belép- 
tetőkártyához tartozó rádiófrekvenciás 
(proxy) interfészt (illetve mágnescsíkot) és 
a PKI csipet. 

1999-ben az ICON kifejlesztette az ICON 
HYDRA smart card csomagot a Microsoft 
és a Schlumberger kártyagyártó cég segít- 
ségével. A termék második verziójának szá- 
mos érdekessége és előnye van. 

Az Oberthur kártyát használó HYDRA 2 töb- 
bek között a fizikai kialakítása — az ultravé- 
kony kártya illeszkedik a hagyományos ol- 
vasókhoz, a külső réteg alkalmas személyes 
azonosítok felvitelére -, illetve elektronikus 
tulajdonságai - beépített közelítő chip 

az ajtónyitáshoz, Cryptochip a PKI funkciók- 
hoz, EMV-kompatibilis chip az e-payment- 
hez, illetve JAVA-kompatibilitás a számos 


különböző alkalmazáshoz - a legkritikusabb 
védelmi rendszerek számára is optimális 
megoldást jelent. 

Nem tértünk még ki egy roppant fontos te- 
rületre, a távfelügyeletre. Számos területen 
—- bankok, közintézmények - rájöttek már 
arra, hogy a különböző védelmi rendszerek 
üzemeltetését nem célszerű és gazdaságos 
házon belül megoldani - gondoljunk csak 
a különböző őrző-védő szolgálatokra -, ha- 
nem érdemesebb azt külső, erre a területre 
szakosodott cégre bízni. Az IT-biztonság 
esetében ezt a távfelügyelet jelenti. 

Az ICON-nak erre is van kész megoldása. 


Hatékony módszer 
-— a távfelügyelet 
Az elmúlt hónapokban számos, ,SP-re vég- 
ződő" szolgáltatásról lehetett hallani. Össze- 
sítve ezeket a szakma x$SP-knek nevezi, ide- 
értve az ASP MSP és egyéb titokzatos rövi- 
dítésű szolgáltatásokat. Ezek közül az ICON 
különösen ígéretesnek tartja a menedzselt 
informatikai biztonsági szolgáltatásokat. Míg 
a ,hagyományos" ASP modell ugyanis a ko- 
rábbiakhoz képest egy forradalmi váltást fel- 
tételez a vállalatok részéről - nevezetesen 
azt, hogy irodai és egyéb kulcsalkalmazásai- 
kat külső szolgáltatótól béreljék -— a mene- 
dzselt biztonsági szolgáltatások (angol rövi- 
dítéssel MSSP- Managed Security Services 
Provider) csak egy szűk szakterületet fednek 
le, ráadásul épp azokat, melyeket a legtöbb 
vállalat nem tekint kulcs kompetencia terüle- 
tének. Ilyenek például: 
un 7x24 biztonsági felügyelet és biztonsági 
rendszer menedzsment 
un tűzfalak szabályrendszerének menedzselése 
u azonnali incidenskezelés 


ICON 


TIPIKUS TÁVFELÜGYELETI RENDSZER 
Vázlat 1.0 


peren 


IEON 


Intranet 


Munkaállomás 


0 Host alapú IDS 
I Hálózati IDS 


un a menedzsment számára készülő rendsze- 
res biztonsági jelentések 

u periodikus sérülékenység elemzés 

m vírusminták naprakészen tartása 

u rendszeres vizsgálatok 


Az MSSP modell gyakorlatilag egy eszközök- 
kel és képzett szakemberekkel jól ellátott táv- 
felügyeleti központ, amely úgy alakítja ki szol- 
gáltatásait, hogy azok megoszthatóak legye- 
nek az ügyfelek között. Az ICON és ügyfelei 
között precíz SLA (Service Level Agreement) 
szabályozza a szolgáltatás minőségét. 

Az SLA-nak több előnye is van. Egyrészt 
lehetővé teszi, hogy a szolgáltatóra jóval 
nagyobb felelősséget ruházzanak, mint egy 
átlagos biztonsági alkalmazottra. 

S mivel az SLA csak dokumentált eljárásokra, 
eszkalációs utakra épülhet, sok vállalatnál 
már az is nagy előny, ha ezeket az eljárásokat 
az SLA megkötésekor végre egyszer alapo- 
san átgondolják. Az ICON ezt a folyamatot 
egy szabványos környezettanulmány elkészí- 
tésével kezdi, amely már önmagában nagy 
értéket jelent az informatikai rendszerének 
biztonsági állapotáért aggódó cégvezető szá- 
mára. 

Van néhány olyan hajtóerő, amely az MSSP 
piac erősödésének irányában hat, például 
egyre több felhasználó egyre bonyolultabb 
informatikai alkalmazást használ, s egyre több 
üzleti folyamat épül az internetre és az infor- 
matikára. Ezek együttesen egyre több és 
komplexebb fenyegetettséget jelentenek. Ide 
sorolható a magas szintű szakértelem általá- 
nos hiánya (sok kisebb vállalat egyáltalán 
nem képes önálló informatikai biztonsági 
szakembert megfizetni. Ugyanakkor egyre 
több vállalat működése függ az informatikai 
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rendszerektől), az informatikai biztonság, mint 
szakterület ,töredezettsége" (azaz túl sok 
mindenhez kellene érteniük a vállalati infor- 
matikusoknak, egy személy nem is lenne ele- 
gendő) a felügyeleti központok méretgazda- 
ságossági problémái (7x24 órás felügyeletet 
ellátó központ kiépítése csak a legnagyobb 
vállalatoknak éri meg, az MSSP viszont ezeket 
az erőforrásokat képes megosztani ügyfelei 
között). Észre kell venni azt is, hogy a védelmi 
rendszerek az átlagos felhasználó számára át- 
tekinthetetlenül bonyolultak és drágák. 

Az eszközök megvásárlása helyett kezdenek 
tért hódítani a bérletszerű konstrukciók. (,,Mi- 
vel nem biztos, hogy két év múlva is ezt az 
eszközt használom majd, minek fektessem te- 
hát ebbe a drága és gyorsan amortizálódó 
eszközbe a pénzem?") A védelmi rendszerek 
gyártói felismerték ugyan ezeket a problémá- 
kat, de a megoldásban csak odáig jutottak, 
hogy saját eszközeik távoli menedzselhetősé- 
gét megkönnyítették. Az ICON tapasztalata 
szerint legalábbis a különböző technológiai 


területeken (a vírusvédelemtől kezdve a tűzfal 
technológiákon át a VPN-ig) ez volt az elmúlt 
egy év legfontosabb fejlődési tendenciája. 
Azonban a tipikus vállalat nem csak egyféle 
terméket használ, s a heterogén biztonsági 
rendszerek menedzselése a mai napig nem 
megoldott. 

Az ICON a BME SEARCH biztonsági kutatóla- 
boratóriummal közösen speciális távfelügye- 
leti rendszert fejlesztett ki, mely azért különle- 
ges, mert gyártófüggetlen, azaz szinte bármi- 
lyen meglevő védelmi eszközzel együttműkö- 
dik, legyen az Checkpoint vagy CISCO tűzfal, 
McAfee vírusvédelmi rendszer, vagy csak 
egyszerűen a Windows beépített naplófunk- 
ciója. Terveik szerint a szoftvernek kiadják egy 
ingyenes, mindenki által használható változa- 
tát is. A vállalati felhasználók számára pedig 
havi átalánydíj ellenében a komplett felügye- 
leti szolgáltatáscsomagot kínálják. A szolgál- 
tatás ára a felügyelt rendszer komplexitásától 
és az ügyfél által kiválasztott szolgáltatás 
szintjétől függ. u 


Classic 


Windows 2000/XP logon 
E-mail digitális aláírása, titkosítása 
Távoli elérés és VPN csatorna 
Web felülethez azonosítás 
Web kapcsolat titkosítás SSL 
Web form aláírása 

File és Directory titkosítás 

File tárolás (meghajtóként) 
Statikus jelszó tárolás 

Single SignOn 
Eurocar-Mastercard (EMV) 
Belső vállalati credit tárolás 
Ajtónyitás (fizikai beléptető) 
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Tudás alapú gazdaságunkban az információ 
a szervezetek legértékesebb erőforrása, tő- 
kéje. Fizikai, pénzügyi értékeinkhez hasonló 
módon az információt is védenünk, biztosí- 
tanunk kell. A hagyományos értékek biztosí- 
tásához hasonlóan az információbiztonsági 
kiadások is felesleges költségnek tűnhetnek 
mindaddig, amíg nincs baj. Utólag viszont 
már hiába sajnálkozunk azon, hogy mennyi- 
vel olcsóbb lett volna a megelőzés és a vé- 
delem. 


A vállalati rendszerek megtervezésében, ki- 
építésében és üzemeltetésében alaptényező- 
vé vált a rendszerbiztonság. Az erről való 
gondoskodás többrétű feladat, ezért beszél 

a Synergon , 360 fokos" biztonságról. 

A logikai védelem hardveres és szoftveres 
védelmi megoldásokból, tűzfalakból, vírusfi- 
gyelő rendszerekből, behatolásjelző alkalma- 
zásokból áll; a fizikai védelem pedig fizikai 
eszközökkel szabályozza a védendő rendsze- 
rekhez való hozzáférést. A biztonság harma- 
dik területe az adminisztratív védelem: ez ha- 


tározza meg az informatikai üzemeltetés mun- 
karendjét, az esetleges vészhelyzetekben el- 
végzendő feladatok sorrendjét, s ehhez a te- 
rülethez tartozik a cég informatikai politikájá- 
nak meghatározása is. 

Az informatikai biztonsághoz vezető lépések- 
ből az első a kockázatelemzés: a védendő 
rendszer jellemzőinek meghatározása, a jel- 
lemzőkhöz illő, és a sajátságos igényeknek is 
megfelelő konkrét megoldások kiválasztása. 
Emellett szükség van az üzemeltetők és a fel- 
használók megfelelő szintű oktatására, a tele- 
pített eszközök, megoldások folyamatos fris- 
sítésére és a teljes rendszer auditálására is. 


Mivel a tökéletes védelem ára végtelen, így 
a cél nem is a tökéletes, hanem az optimális 
biztonsági szint elérése, melyet a különböző 
kockázati tényezők potenciális kárértékeinek 
és a megelőzéshez szükséges intézkedések 
költségeinek gondos mérlegelése alapján kell 
kiszámítanunk. A megfelelően átgondolt in- 
formációbiztonsági kiadások tehát jó pénz- 
ügyi befektetésnek tekinthetők. 


FOLYAMATOS 
RENDSZERES 
FELÜLVIZSGALATOK 


Elérhető biztonság 

Az ügyfél tevékenységének alapos megisme- 
rése nélkül bajos valóban teljes körű és költ- 
séghatékony biztonsági megoldást kiépíteni. 
S az alapos megismeréshez a biztonság kér- 
dését üzleti oldalról kell megközelíteni. 

A Synergon is ezt az irányzatot követi, s az 
ügyfélcég munkájához pontosan hozzáigazítja 
a megfelelő biztonsági követelményeket és 
megoldásokat. Szakértői első lépésként át- 
vizsgálják az ügyfél mostani informatikai 
rendszerét, majd ellenőrzik a rendszerből 

a napi működésben kinyerhető adatokat, 
hogy vajon valódiak és megbízhatók-e. Végül 
ellenőrzik az információkat elérők körét — 
hogy az adatokhoz valóban csak azok férhes- 


Költségek 
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senek hozzá, akiknek a munkájához ez szük- 
séges. A vállalati rendszerek fejlődése miatt 
a Synergon megvizsgálja a megrendelő rend- 
szereinek teljes biztonsági életciklusát is, hi- 
szen a támadók módszerei is folyamatosan 
fejlődnek. 


Az információval járó kockázat 

A vállalkozás szempontjából kétségkívül az in- 
formáció a legfőbb érték; a versenyelőny 
megszerzéséhez és megtartásához folyama- 
tosan és biztonságosan kell működnie az in- 
formációs rendszernek. Ehhez azonban azt is 
pontosan tudni kell, hogy az adatok és 

a rendszerek közül mit kell megvédeni és ho- 
gyan. Megfelelő forgatókönyvet kell 
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A Matáv tulajdonába került macedón 
Maktel telekommunikációs vállalatban 

a Synergon végezte el a teljes informatikai 
rendszer biztonsági felmérését és fejleszté- 
sét. A Compag 2001 végén kérte fel erre 

a feladatra. 2002 januárjában, az előzetes 
megbeszélések sikeres lezárulta után 

a Synergon szakemberei - a Compag minő- 
ségbiztosításával - megkezdék Szkopjéban 
a munkát. 

Az egyik feladatuk a Maktel teljes informati- 
kai rendszerének átvilágítása volt; a vegyes 
eszközparkot üzemeltetési kontroll és biz- 
tonsági kockázatok szempontjából is meg 
kellett vizsgálniuk. A helyi szakemberek fo- 
lyamatosan fejlesztették az egymástól elszi- 
getelten működő s egymással nehezen 
kommunikáló szigetrendszerek helyébe lé- 
pő integrált rendszereket. A felmérések sze- 
rint azonban az informatikai biztonsági in- 
tézkedések nem voltak egységesek, csak 
ötletszerűek, inkább csak műszaki kérdések- 
re szorítkoztak, s nem terjedtek ki az admi- 


összeállítani azokra a helyzetekre is, amelyek- 
ben elvész, megsérül vagy illetéktelen kezek- 
be kerül a megvédendő információ, esetleg 
az információt tároló rendszer válik valami 
miatt használhatatlanná. A többféle veszély- 
forrásnak megfelelően az információbiztonsá- 
gi kockázatot a legcélszerűbb integrált felfo- 
gás szerint kezelni. Mivel a kis- és közepes 
méretű vállalkozások legtöbbjének az infor- 
matika csupán eszköz s nem munkaterület, 
azért érdemes a megfelelő tudásbázist gyűjtő 
és kellő technológiai megoldásokat kínáló 
külső cégekhez fordulni; ők gondoskodhat- 
nak a fizikai és a logikai védelemről is. 


nisztratív szabályozásra. Az eredeti, 38 akti- 
van használt alkalmazást például később 
még ki kellett egészíteni az informatikai 
részlegtől független vállalati egységekben 
használatos programokkal is. 

A vizsgálatban a Synergon szakemberei jó 
néhány megbeszélést tartottak a csúcsveze- 
tőkkel a vállalat üzleti és informatikai folya- 
matainak összefüggéseinek tisztázására. 

S ugyanilyen nagy feladat volt az informati- 
kai rendszerek kockázatfelmérése is. A koc- 
kázatelemzésből adódtak később a Maktel 
által bevezetendő védelmi intézkedések, 
azokból pedig a vállalat Informatikai Bizton- 
sági Szabályzata. A végeredmény két doku- 
mentum volt: az első bemutatta a felméré- 
sek eredményét, a másik megfogalmazta 

a vállalat biztonsági szabályzatát. A Maktel 
szakemberei igen hasznosnak találták ezt 

a több mint 100 oldalas jelentést, s arra tá- 
maszkodva a helyi informatikai vezető már 
kidolgozhatta a továbblépéshez szükséges 
stratégiát. § 


Üzleti követelmények, avagy üzleti és 
IT-kockázat 

A komplex biztonsági megoldás kezdő lé- 
pése az üzleti és a működési környezetből 
adódó követelmények azonosítása. 


Ezt követheti egy üzleti/informatikai kocká- 
zatelemzés, melynek célja azonosítani azo- 
kat a hiányosságokat, amelyek potenciáli- 
san nagy kárt okozhatnak a szervezet szá- 
mára, és ezért magas kockázatot jelente- 
nek, illetve meghatározni a még elviselhető 
maradvány kockázati értéket. 

Csak ezek ismeretében valósítható meg 
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SZAKAVATOTT VIZSGÁLÓDÓ 


A CISA, vagyis a Certified Information 
System Auditor munkája éppoly felelős- 
ségteljes; mint egy pénzügyi auditoré. Ne- 
ki kell megállapítania, hogy a vizsgált in- 
formatikai rendszer megfelel-e a felállított 
követelményeknek és szabályoknak. Az 
1969-ben az Egyesült Államokban alapított 
ISACA több tízezer tagja közül 26 ezren 
szereztek CISA minősítést. Ennek a címnek 
a megszerzése nem könnyű feladat, hiszen 
négy óra alatt kétszáz kérdésre kell felelnie 
a vizsgázónak. A kérdések egyebek között 


a kockázatarányos védelem elve: optimá- 
lis biztonsági költségek - megfelelő vé- 
delmi szint mellett. 


A követelmények és a kockázatok ismere- 
tében dolgozható ki a szervezet informá- 
cióbiztonsági stratégiája és koncepciója, 
amelyek az elérendő biztonsági célokat és 
a megvalósítás koncepcionális tervét tartal- 
maázzák. 


A következő lépés a védelmi intézkedések 
kidolgozása és szükséges kontrollok imple- 
mentálása. Ezeket három csoportba sorol- 
juk: fizikai, logikai és adminisztratív védel- 
mi intézkedések. 


VÉDELEM FIZIKAI SZINTEN 
A fizikai védelmi intézkedések az informá- 
ció feldolgozását kiszolgáló berendezé- 


sek, helyiségek és az alkalmazottak védel- 
mét szolgálják. Ilyenek például a vagyon- 
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a nemzetközi IT-auditálási szabályokat fir- 
tatják, azután az információvagyon kezelé- 
sét és megőrzését, a katasztrófaelhárítást, 
a folyamatos üzletmenet fenntartását és az 
üzleti alkalmazások fejlesztését. A sikere- 
sen letett vizsga öt évig érvényes, s a mi- 
nősítéshez további ötéves szakmai gyakor- 
latot is igazolni kell. Az ISACA kreditrend- 
szerrel ellenőrzi a továbbképzést, és ha a 
minősített személy nem gyűjt kellően sok 
kreditpontot, akkor megvonja tőle a minő- 
sítést. 


védelmi, a tűzjelző-, a beléptető- és a vi- 
deomegfigyelő rendszerek vagy akár 

a szünetmentes áramforrások, védett 
kábelrendezők, klímaberendezések. 


Az információ nem csak elektronikusan, ha- 
nem fizikai mivoltában is sérülhet, ha meg- 
sérül, netán megsemmisül a hordozóeszkö- 
Ze. A sokféle fenyegetésnek megfelelően 
sokrétű lehet a fizikai védelem is. A vagyon- 
védelmi rendszerek a létesítményekbe való 
behatolást jelzik, az intelligens tűzjelző rend- 
szer pedig - a különböző oltórendszerekkel 
együtt - a tűzkárok megelőzésében vagy 
csökkentésében jut szerephez. A megfigye- 
lő videorendszer - folyamatos vagy csak 
változásra induló üzemmódban - feljegyez- 
heti a megfigyelt területen történeteket. 

A beléptetőrendszer a kialakított biztonsági 
előírásoknak megfelelően - ha kell, napsza- 
konként és területenként - korlátozhatja 

a jogosultak belépését. A CMC rendszer az 
adatátviteli és adattároló szekrények műkö- 
dését ellenőrzi, s mivel saját IP-címe van, 


azért a hálózat bármely pontjáról vezérelhe- 
tő. A rendszerek távfelügyelete RS-485 pro- 
tokollal, illetve telefonvonalon keresztül in- 
tézhető, s az események számítógépen rög- 
zíthetők. 


RÉSMENTES VÉDŐGÁT 


A logikai védelmi intézkedések, megoldá- 
sok az adatok bizalmas kezelését, sértet- 
lenségének megőrzését és folyamatos 
rendelkezésre állását biztosítják. Néhány 
példa a teljesség igénye nélkül: vírusvé- 
delem, tűzfalak, behatolásérzékelő rend- 
szerek, autentikációs rendszerek, publikus 
kulcsú infrastruktúra a digitális aláírás és 
titkosítás megvalósítására, tartalomszű- 
rés, virtuális magánhálózat a bizalmas 
kommunikációhoz, mentési/archiválási 
rendszerek stb. Ide sorolható még a kü- 
lönböző rendszerszoftverek biztonsági kö- 
vetelményeknek megfelelő konfigurálása, 
illetve a biztonsági szabályzat szerinti jo- 
gosultsági rendszerek kialakítása, a nagy 
tömegű naplóadatok (logok) hatékony 
elemzésének megvalósítása. 


Secunty 1091. Cice Byttoma ist 


Ma már alapkövetelmény a vállalati hálóza- 
tok ,szivárgásmentes" védelme. A helyi há- 
lózatok védelmében a külső és a belső há- 
lózati forgalmat kettéosztó tűzfalak az első 
vonal. Az adatforgalom szűrése több szem- 
pont szerint is elvégezhető, s ezzel jóval ki- 
sebbé tehető a támadási felület. A külső 
tűzfal azonban nem ad hathatós védelmet 
a belső támadások ellen, ezért hasznos le- 
het a külső tűzfallal párhuzamosan szemé- 
lyes tűzfalat is alkalmazni. A beha- 
tolásérzékelő rendszerek (IDS) folyamato- 
san figyelik az adatforgalmat, s behatolási 
mintákat keresnek benne. Ilyesfajta esemé- 
nyek észlelésekor egyrészt értesítik a rend- 
szergazdákat, másrészt maguk beállíthatják 
a tűzfal megfelelő tulajdonságait, illetve 


"COMPAG CLUSTER — 
FÜRTÖZÖTT ERŐ ; 
A első fürtözéstechnológia a Digital nevéhez 
fűződik: 1984-ben, még VMS operációs 
rendszerrel mutatta be az első fürtözött 
megoldást. A Tru64 Unix operációs rend- 
szerre épülő, a megbízhatóságot és a telje- 
sítményt növelő TruCluster technológia en- 
nek a megoldásnak az utódja. 
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Nyomtatási Papír doku- SAP archív Elektronikus 

kimenetek mentumok adatok levelezés 
Üzleti al- Szkennerek SAP Notes vagy 

kalmazások Exchange 


Indexelő, Content Content 
feldolgozó Manager Manager 


szoftver CommonsShare CommonsShare 
for SAP for NotesExchange 


Content Content 
Manager Manager 
OnDemand 


Tivoli Storage Enterprise 
Manager Information Portal 
(WebSphere 
Application 
Server alapú) 
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mentumok 

Fájlszerver 

Office kliens 


Multimédia 
anyagok 


CRM 
szerkesztő 
rendszerek 


Content 


Manager 
VideoCharger 


Relációs 
adatbázis 


megszakíthatják a kapcsolatot. A leta- 
pogató alkalmazások (szkenneralkalmazá- 
sok) hasznos felvilágosítással szolgálhat- 
nak a védendő rendszerek valós védettsé- 
géről; ezek az alkalmazások a másutt már 
felismert fogyatékosságokat keresik. 

A technológiai megoldásoknál semmivel 
sem kevésbé fontos az emberi oldal: a fel- 
használók képzése, a gondoskodás a meg- 
felelő eszközökről és a követelmények be- 
tartásának ellenőrzése. A megfelelő emberi 
és műszaki tényezők együtt tehetik csak- 
ugyan ,jól záróvá" a vállalat informatikai 
rendszerét. 


Védett pontok 

Ahogyan az internet egyre fontosabb sze- 
rephez jut, a vállalat hálózati erőforrásait 
mind nehezebb megvédeni a külső és belső 
támadásoktól. A Synergon az izraeli Check 
Point Software Technologies megoldásaival 
kínál ügyfeleinek zökkenőmentes, mégis biz- 
tonságos kapcsolódást internethez, 
intranethez, extranethez. A Next Generation 
termékcsaládba tartozó Secure Virtual 
Network alkalmazások a távol dolgozó mun- 
katársak csatlakozását figyelik, valamint a fi- 
ókirodák és a partnercégek extranetes háló- 
zatainak csatlakozását. Az OPSEC nyílt biz- 
tonsági platform architektúrája révén 

a Check Point mintegy 300 cég integrált 
megoldásait is kezeli. A Firewall-1 csomag 
segítségével ugyanarról a felületről bonyolít- 
ható le a hozzáférés ellenőrzése, az érvénye- 
sítés, a titkosítás, a hálózati cím fordítása, 

a tartalombiztonság és az auditálás. 

A Firewall-1-es kibővíthető az OPSEC- 
kerettel, s így együttműködhet harmadik fél 
által fejlesztett alkalmazásokkal. 
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A VPN (Virtual Private Network) vagy vir- 
tuális magánhálózat lehetővé teszi, hogy 
olcsó, nyilvános használatú hálózaton 
keresztül megfelelő biztonságú kapcsolatot 
alakítsunk ki. 

Ekkor a két egymással kapcsolatban lévő 
végpont valamiféle erős titkosítással kommu- 
nikál egymással. Az olcsó átviteli eljárás, 
tipikusan a nyilvános internetkapcsolat nem 
tesz lehetővé biztonságos adatforgalmat, 
hiszen ahhoz sokaknak van hozzáférésük, 
lehallgathatják, megmásíthatják az üzenetet. 


Magánhálózat interneten át 

Az internetes kapcsolatok és a vállalatai 
erőforrások ötvözésével kialakítható virtuá- 
lis magánhálózat (VPN) költséghatékony és 
biztonságos kapcsolódási módszerrel szol- 
gálhat. A virtuális magánhálózat a nyilvá- 
nos internet adta lehetőségeket használja 
ki az otthoni és a mobil felhasználók be- 
kapcsolására vagy távoli telephelyek, iro- 


"dák összekapcsolására. Nem telefonhálóza- 


ton alapuló behívásra támaszkodik tehát, s 
nem is a telephelyek LAN-hálózata között 
kapcsolatot teremtő bérelt vagy Frame 
Relay-vonalakra, mint a hagyományos 
módszerek. A virtuális magánhálózat egy- 
részt kisebb költséggel jár, másrészt bizton- 
ságossá teszi az adatátvitelt; ezt a hagyo- 
mányos módszerekkel. Nem lehetett elérni, 
vagy csak IPSec alkalmazásával. A VPN-re 
támaszkodó megoldások kiépítése rugal- 
masabb és gyorsabb is, és kapacitása 
könnyebben hozzáigazítható a mindenkori 
igényekhez. A Synergon az ügyfelek köve- 
telményeit felmérve optimális VPN-szolgál- 
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A megfelelő titkosítás lehetővé teszi, hogy az 
üzenetváltást, ha le is hallgatják, megérteni 
nem tudják, illetve az üzenetet ne lehessen 
módosítani, hamisítani. 

Ezzel a két fél a nyilvános hálózaton egy vir- 
tuális csatornát hoz létre, aminek forgalmát 
csak ketten tudják értelmezni. 

Tipikusan akkor érdemes alkalmazni, ha 
legalább az egyik kommunikáló végpont 
helye változik, a gyakorlatban ezek 

a noteszgéppel, távolról bejelentkező 
felhasználók. 


tatásokat kínál, és segíti az ügyfeleket 
a megoldás kiválasztásában, kialakításában 
és az integrálás folyamatában. 


Biztonságos magánhálózat 

A Synergon által kínált Cisco VPN Security 
Specialization technológiával biztonságos 
virtuális magánhálózat alakítható ki. 

A Cisco berendezései között ott vannak az 
IPSec VPN-re és tűzfalfeladatok ellátására 
alkalmas útválasztók, a PIX tűzfalcsalád 
tagjai, biztonságfelügyeleti eszközök, beha- 
tolásjelző alkalmazás és VPN koncentrátor. 
Mindezeket az eszközöket a Cisco SAFE 
rendszere fogja össze egyetlen biztonsági 
architektúrába. 

A VPN-kapcsolatnak egyebek között alap- 
feltétele akommunikációban részt vevők 
elkülönülése a hálózat többi adatforgalmá- 
tól, illetve az adatforgalom valamilyen 
rendszer szerinti titkosítása. A két feltételt 
a hagyományos IP-gerinchálózatokon nem 
lehet egyszerre kielégíteni. A Cisci IPSec 
VPN-ek révén azonban bármely médium- 


mal létrehozható biztonságos magánháló- 
zat - bérelt vonalon, betárcsázós kapcso- 
lattal vagy kívülről csatlakozó internetes 
kapcsolattal. Az ügyfelek adatforgalmának 
megfelelően kis és nagy teljesítményű esz- 
közök használhatók, s azok a már meglevő 
Cisco útválasztóknak szinte mindegyikén át 
létrehozhatnak IPSec VPN-eket. 


Hálózati biztonság 

A Synergon által kínált Cisco SAFE az egyik 
legkorszerűbb és legátfogóbb a ma piacon 
levő biztonsági megoldások közül; minden 
részletet ellenőrizhet és szabályozhat a há- 
lózathasználatban. 

A védett rendszerbe bejelentkező felhasz- 
nálót a Secure Acces Control Server kétféle 
azonosítási móddal fogadhatja: hagyomá- 
nyos, névvel és jelszóval való azonosítással 
vagy a nagyobb biztonságot kínáló, egysze- 
ri jelszavas, külső kiszolgálón át való azo- 
nosítással, A PKI alapú bejelentkezésről 

a Cisco stratégiai szövetségesei gondos- 
kodhatnak. 

A bejelentkezett felhasználó adatait a válla- 
lati címtárból vagy az ACS saját adatbázisá- 
ból lehet azonosítani. Az egyszer használa- 
tos jelszavakhoz megfelelő - Solaris vagy 
Windows alapú - kiszolgáló is szükséges. 

A hálózati erőforrásokat a belső tűzfalak vé- 
dik, idomulva az egyre gyakoribb belső tá- 
madások és jogosulatlan hozzáférésekhez. 
A Cisco PIX tűzfalak Intel alapon működő, 
PIX operációs rendszert és tűzfalszoftvert 
futtató célhardverek. A VPN-kapcsolatokat 
az IPSec alapú alkalmazások felügyelik, ezek 
az útválasztókon 1-2 megabit/másodperces 
sebességgel műkdönek, tűzfalakon 20 me- 
gabit/másodperces sebességgel. A rendszer 


finomhangolásáról és a behatolások felfede- 
zéséről az IDS eszközök gondoskodnak. 


Integrált tartalom 

A vállalatoknak igen fontos lehet, hogy integ- 
rálják az informatikai rendszerük különböző 
alkalmazásaiban keletkezett tartalmat; a mos- 
tani erős versenyben nem elég az üzleti alkal- 
mazások által előállított és kezelt információ- 
kat csak magában az alkalmazásban elérni, 
hanem azokat egységesítve, egymással ösz- 
szekapcsolva is meg kell jeleníteni, különben 
a cég hátrányba kerülhet a versenyben. S ez 
az elektronikus dokumentáció mellett a papír 
alapú tartalom kezelését és archiválását is 
megköveteli. 

A Synergon erre a meglehetősen összetett 
feladatra az IBM Content Manager alkalma- 
záscsomagját választotta. A különböző kom- 
ponensek együtt teljeskörűen kezelik a papír 
alapú dokumentációt: elvégzik a szövegfelis- 
merést és az indexelt archiválást, kezelik az 
elektronikus levelezésben található értékes 
üzleti információkat, kézi üzemmódban és - 
szabályrendszerre támaszkodva — automati- 
kus üzemmódban is archiválják a leveleket. 
A CommonStore for SAP modul kezeli a vál- 
lalati SAP rendszerek üzleti adatait. A felhasz- 
nálók az IBM Enterprise Information Portalon 
át érik el tárolt adatokat: a portálon egyetlen 
adatbázisnak látják a különböző rendszerek- 
ből kivont tartalmat. 


KÖZÉPPONTBAN 
AZ ADMINISZTRATÍV VÉDELEM 


Az adminisztratív biztonsági intézkedések 
dokumentálják a biztonsági elvárásokat 
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(informatikai biztonságipolitika), szabá- 
lyozzák a biztonsági környezetet, megha- 
tározzák a jogosultságokat, felelőssége- 
ket, a kötelezően elvégzendő és a tiltott 
tevékenységeket (informatikai biztonsági 
szabályzat). Nagyon fontos kiemelni 

a nem várt események kezelését célzó üz- 
letmenet-folytonossági tervek jelentősé- 
gét, amelyek kidolgozásával a szervezet 
működőképes maradhat a legkülönbö- 
zőbb külső vagy belső incidensek fellépé- 
sét követően is. Az adminisztratív bizton- 
sági intézkedések bevezetésének elenged- 
hetetlen része az alkalmazottak oktatása 
is, hiszen az intézkedések csak akkor fejt- 
hetik ki hatásukat, ha azokat a szervezet 
valamennyi tagja alkalmazza. 


A vállalati informatikai rendszerek biztonsá- 
gában igen fontos szerepet játszanak 

a megfelelő adminisztratív védelmi eljárá- 
sok és módszerek. Ezek az egész védelmi 


elgondolást áthatják, hiszen az informatikai 
biztonsági szabályzat magában foglalja a kü- 
lönböző tartományokhoz (doménekhez) tarto- 
zó védelmi intézkedéseket, legyenek azok lo- 
gikai vagy fizikai elemek. A Synergon tapasz- 
talatai szerint a cégek nagy részének gyakor- 
latában ez meglehetősen elhanyagolt terület. 
Ahol vannak is (adminisztratív védelem), azok 
is általában valami sürgető esemény követ- 
keztében keletkeztek, és ezért nem alaposan 
átgondolt, hanem ötletszerű megoldást jelen- 
tenek. Mint az ilyen megoldások általában, 
egy problémára egy adott pillanatban megfe- 
lelnek, de teljességében nézve nem teszik 
biztonságosabbá a rendszereket. 


Az adminisztratív védelem szemléletmódja 
a gazdaságosságon alapul: aszerint a válla- 
latnak olyan szintű biztonságra van szüksé- 
ge, amely egyrészt megfelelő az ár és telje- 
sítmény viszonyát tekintve, másrészt gon- 

doskodik a teljes rendszer átfogó védelmé- 


INTELÜGENS KÁRTYÁS MEGOLDÁS AZ OTP-NÉL 


Az OTP Ingatlan Rt. egy összetett projektke- 
zelő rendszert alkalmaz építési beruházásai 
és finanszírozási tevékenysége koordinálásá- 
ra és adminisztrálására. 

Az internetes-intranetes megoldásban 

a rendszer megfelelő részeihez nemcsak az 
OTP Ingatlan Rt. munkatársai, de az ügyfelei 
is közvetlenül hozzáférhetnek a beépített jo- 
gosultsági rendszer engedélyezése alapján. 
A helyi igényekhez tartozott annak megoldá- 
sa is, hogy a projektek döntéshozói jogosult- 
ság szerint, biztonságos, egyedi azonosítási 
eljárás során léphessenek a rendszerbe. Így 
a döntési folyamat minden lépését rögzíti 
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a rendszer, a döntések és azok következmé- 
nyei azonnal, valós időben jelenhetnek meg, 
ami azért fontos, mert egy-egy döntés ese- 
tenként több százmillió forint sorsát befolyá- 
solhatja. 

Az OTP-ben működő rendszer intelligens 
kártya alapján azonosítja a felhasználókat: 

a fejlesztők 50 kártyaleolvasót kapcsoltak 
össze az Oracle adatbázis-kezelőjével és 

a Microsoft hálózati rendszerrel. A száz fel- 
használót egy tanúsítványkiadó kiszolgáló 
fogadja, és ez év január 1-jétől már ki-ki 
helytől függetlenül jelentkezhet fel a rend- 
szerre, s végezheti vele a munkáját. 


ről. A kockázatelemzés - esetleg külső 
szakemberek bevonásával - megállapíthatja 
a különféle területek prioritási szintjeit, s 
azokhoz már hozzárendelhetők a szükséges 
ráfordítások is. Az alapbiztonság követel- 
ményrendszeréről való gondoskodás után 
kialakítható az igen fontos területeknek 

a szokásos szintnél erősebb védelme is. 


Tűzfalat mindenkinek 

A vállalatok adatvagyonának védelme lényeg- 
bevágó kérdés, és köze van a cég munkatársa- 
inak munkájához is. A legtöbb céget váratlanul 
érné az, ha egy elégedetlen dolgozó netán 
összegyűjtené az üzleti adatokat, terveket, stra- 
tégiákat, és eltávozna velük a konkurenciához. 
Az adatokat emiatt nemcsak a külső támadá- 
soktól kell megvédeni, hanem a belső támadá- 
soktól és hibáktól is, egyszersmind gondos- 
kodni kell az adat folyamatos hozzáférhetősé- 
géről és sértetlenségéről. 

Az elemzések szerint az adatok károsodása 55 
százalékban a belső munkatársak figyelmetlen- 
ségéből vagy tévedéséből fakad; az elégedet- 
len dolgozók 13 százalékban, a tisztességtelen 
kollegák pedig 14 százalékban hibáztathatók az 
adatvagyon károsodásáért. Az okozott kár ösz- 
szege is megállapítható; egy nemzetközi ta- 
nácsadó cég becslése szerint az átlagos szintű 
védelmet használó cégekben az évi veszteség 
a mérleg-főösszeg 2-5 százaléka lehet. 

A Synergon ennek a kivédésére dolgozta ki 

a biztonsági életciklus modellt; eszerint a mo- 
dell szerint folyamatossá kell tenni a kockázat- 
elemzést, a stratégiai tervezést, a védelmi in- 
tézkedések kidolgozását, implementálását, va- 
lamint a dolgozóknak e tekintetben adandó tá- 
mogatást, az oktatást, illetve az auditálást és 

a felülvizsgálatot. 


Mindehhez hozzájárul a ,humán tűzfal": a bel- 
ső munkatársak motiválása, ellenőrzése és 
képzése. A cég nagy része egyelőre nem sokat 
törődik ezekkel a teendőkkel, pedig nagyon 
fontos szerepük van a veszélyelhárításban. 

A humán tűzfal méltatlanul mellőzött területe 
az adat- és információbiztonságnak. Mert gon- 
doljon bele a kedves olvasó: egyes felmérések 
szerint az informatikai rendszerrel kapcsolatos 
károk 5590-a, más felmérések szerint több mint 
8099-a fakad a saját alkalmazottak, dolgozók te- 
vékenységéből. A felmérések eredményei azért 
különböznek, mert van aki a kár értékét, van 
ahol az incidensek számát értékelik, az ered- 
mény akkor is elgondolkodtató. 

Milyen tipikus előfordulások vannak, és hogyan 
előzhetjük meg őket? Gyakorlatilag a károkozás 
minden formájával találkozhatunk: ilyen a bil- 
lentyűzetre öntött kávé. A takarítás, bútortolo- 
gatás közben megsértett, esetleg kiszakított há- 
lózati csatlakozó. A nyomtatóba beszakadt pa- 
pír házilagos kioperálása húsz centiméteres ol- 
lóval, műkörömmel, svájci bicskával. 
Természetesen nemcsak a hardver bánja dol- 
gozóink gondatlanságát: a jogosulatlanul hasz- 
nált, tévesen kezelt szoftverek komoly kárt 
okozhatnak az adatokban. Fontos a jó bizton- 
sági rendszer, hogy jogosulatlan hozzáférésre 
esély se legyen. Fontos a jó szoftver, aminek 
felülete felhasználóbarát, hogy ne adjon mó- 
dot a téves használatra. 

Ezenfelül számtalan módja van a szándékos kár- 
okozásnak, adatok jogosulatlan kimásolásától 

a rongálásig vagy megsemmisítésig. A humán 
tűzfalnak ki kell szűrnie a fegyelmezetlen, elége- 
detlen, tisztességtelen dolgozókat. A károk nagy 
része oktatással megelőzhető, de a megfelelően 
megválasztott eszközök és munkatársak jelentő- 
sen csökkentik a belső eredetű károkat. 


ÉÉÉtkEKEmmeltttlt— 


FOLYAMATOS BIZTONSÁG 


Rendelkezésre állási szolgáltatások. A biz- 
tonságos működés elengedhetetlen felté- 
tele az informatikai rendszerek, így a ben- 
nük feldolgozott és tárolt adatok rendel- 
kezésre állása. Kulcsfontosságú biztonsá- 
gi komponens lehet tehát a rendszerek 
gazdaságos, professzionális üzemeltetése. 
Erre, illetve a költséghatékony, szükséges 
gyorsaságú és minőségű hibaelhárításra 
több módszer ismert - a szerviz, Help 
Desk szolgáltatások igénybevételétől 

a különböző méretű és kompetenciájú sa- 
ját csapat fenntartásán keresztül, a saját 
főtevékenységre koncentrálás lehetőségét 
biztosító teljes outsourcing megoldásig. 


A változékony, bonyolult, vagyis instabil és 
elromlásra hajlamos informatikai rendsze- 
rek megbízható üzemeltetése mindig is ne- 
héz feladatot rótt a szakemberekre. A rend- 
szerüzemeltetés azonban kevéssé vonzó 
terület, hiszen a közhiedelem szerint egy- 
hangú, fárasztó feladatokat kell hozzá elvé- 
gezni, de azokhoz a feladatokhoz nem kell 
semmiféle különleges szaktudás, sem új 
ötlet. Optimális esetben a jól szabályozott 
környezet előre megszabott folyamatoknak 
enged utat, s a körülményeket a minőség- 
biztosítás tovább stabilizálja, s mindennek 
jóvoltából a felhasználó nem is észlelheti 

a környezetben lejátszódó tranziens jelen- 
ségeket. 


HA MEGTÖRTÉNT A BAJ... 


Nem felejthetjük el, hogy a biztonság nem 
statikus állapot. A környezet és a követel- 
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mények folyamatosan változnak, így a ki- 
alakított információbiztonsági rendszert 
időről időre felül kell vizsgálni, csak így 
derülhet fény a már jelen lévő vagy az ép- 
pen kialakuló új kockázatokra. Az infor- 
matikai biztonsági felülvizsgálat magában 
foglalja az adminisztratív elemek és 

a technikai megoldások felülvizsgálatát is. 


Az informatikai infrastruktúra átfogó keze- 
léséhez szükséges eszközök sokba kerül- 
nek, ezért nem minden cég engedheti meg 
magának a használatukat. A Synergon 
azonban változtatni akar ezen a helyzeten: 
a kis- és közepes vállalkozásoknak is igyek- 
szik elérhetővé tenni az ITIL (IT 
Infrastructure Lybrary) kezdeményezésre 
felépített modelljét. 


A szinte szabványként működő, európai 
kezdeményezéssel életre hívott ITIL-t 

a Microsoft is támogatja: a maga 
Operation Framework rendszerének eleme- 
it építette az ITIL-re. A módszer alapelvei 
meglehetősen egyszerűek: a már megtör- 
tént bajt a probléma pontos behatárolásá- 
val és megnevezésével, majd a hozzá való 
legjobb megoldással lehet leküzdeni. 

A cégek többsége ma főleg a felhasználó 
és a rendszergazda közötti eseti kommuni- 
kációra támaszkodik, de ez a módszer nem 
ad megnyugtató megoldást a netán ismét- 
lődő problémák orvoslására. A Synergon 
Officium rendszere több kis- és közepes 
vállalkozást szolgál ki a maga szakember- 
gárdájával és eszközeivel, így magas szintű 
szolgáltatást adhat a kisebb vállalatoknak 
is, és naponta több száz vagy több ezer 
problémával is megbirkózik. m 
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Már megint kimaradt 


Garanciális 
szervíz: 
WWW.ApcServICe.ne 


az áram, Megelőzhettük volna, 


Tegnap du. 3:27-kor néhány 
pillanatig tartó feszültségkiesés 
érte a cég szervereit. Ez a 
számítógépes rendszer egy órás 
rendkívüli leállását okozta. A cég 
nem rendelkezett semmilyen 
feszültségvédelmi megoldással. 
Ez idő alatt az értékesítési osztály 


munkája félbeszakadt, az ügyfél- 
kiszolgálás szünetelt. Értékes 
adatok vesztek el, a céges honlap 
elérhetetlenné vált. A tápellátás- 
védelem hiánya ebben az 
egyetlen esetben 20 millió 
forintjába került a cégnek. 


Az ilyen esetek szerencsére 
megelőzhetőek. Az APC Smart- 


1 Az APC megoldást kínál Önnek is! 
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Symmetra" " 
Power Array" 


UPS? és a Symmetra" Power 
Array" garantálják, hogy az Ön 


kritikus üzleti alkalmazásai 
folyamatosan elérhetőek és 
működőképesek maradjanak, 


még tápellátási zavarok idején is. 
Elismert tápfelügyeleti megoldá- 
saink megkímélik Önt a felesleges 
veszteségektől és csökkentik 
üzemeltetési költségeit. 


Legendary Reliability" 


